Fhiron procesa flujos sensibles del sistema de salud: identificadores de pacientes, prescripciones, diagnósticos, credenciales de acceso a EHRs. La arquitectura está diseñada para minimizar la superficie de datos persistidos y para que cada cliente mantenga control sobre lo que comparte.Documentation Index
Fetch the complete documentation index at: https://docs.fhiron.cl/llms.txt
Use this file to discover all available pages before exploring further.
Principios
Stateless por diseño
El gateway de validación no persiste recursos FHIR clínicos en producción. La validación es síncrona: recibe, valida, reenvía o descarta.
Mínimo privilegio
Cada credencial tiene el alcance más acotado posible. Las API keys se procesan en memoria y nunca quedan en archivos accesibles a otros usuarios del sistema operativo.
Cifrado en tránsito
Toda la comunicación con Fhiron usa TLS 1.3. Las integraciones internas operan sobre red privada cuando es posible.
Aislamiento por tenant
Cada organización opera sobre un espacio lógico independiente, con políticas de aislamiento aplicadas a nivel de base de datos.
Protección de credenciales
- Las credenciales de integración con EHRs externos (Bearer, Basic) se almacenan cifradas en reposo.
- Las API keys de Fhiron se transmiten solo sobre HTTPS al endpoint oficial.
- Recomendamos pasarlas mediante variables de entorno (
FHIRON_API_KEY) en lugar de argumentos de línea de comandos. - La rotación de keys está disponible desde el panel; al rotar, la key anterior queda revocada de inmediato.
Protección de red
El conector MCP y el módulo Insight validan el destino de cada llamada saliente antes de emitirla. Solicitudes hacia direcciones internas, loopback o endpoints de metadata de servicios cloud se rechazan automáticamente — tanto por verificación de la URL como por resolución DNS.Cadena de suministro del software
El paquete@fhiron/mcp-connector se publica en npm con firma criptográfica de procedencia (npm provenance), generada por nuestro pipeline de release. Cualquier cliente puede verificar la firma:
Manejo de incidentes
Fhiron mantiene un proceso de respuesta a incidentes con SLA documentado. Las vulnerabilidades reportadas por terceros responsables se atienden según severidad:| Severidad | Primera respuesta | Resolución objetivo |
|---|---|---|
| Crítica | 4 horas hábiles | 72 horas |
| Alta | 1 día hábil | 7 días |
| Media | 3 días hábiles | 30 días |
Subprocesadores
Fhiron utiliza los siguientes subprocesadores para operar la plataforma:| Proveedor | Servicio | Región principal |
|---|---|---|
| Vercel | Hosting de aplicaciones web | Estados Unidos |
| Railway | Infraestructura del gateway FHIR | Estados Unidos |
| Supabase | Base de datos y autenticación | São Paulo |
| Flow | Procesamiento de pagos | Chile |
Marco normativo aplicable
La operación de Fhiron se diseña para alinearse con el marco normativo chileno vigente sobre salud digital y protección de datos personales, además de los estándares HL7 FHIR R4 y CL Core. La documentación de cumplimiento detallada para clientes Enterprise está disponible bajo acuerdo de confidencialidad.Reportar una vulnerabilidad
Contacto responsable:
security@fhiron.clSi descubriste un problema de seguridad que afecta a Fhiron o al conector MCP, escríbenos. Confirmamos recepción dentro de 1 día hábil. No emprendemos acciones legales contra investigadores que sigan prácticas de divulgación responsable.Posture de cumplimiento
Los siguientes controles y certificaciones están en evaluación o desarrollo dentro de la hoja de ruta de Fhiron. La fecha de obtención se comunica al cierre formal:- Auditoría externa de prácticas de seguridad.
- Atestación SOC 2.
- ISO/IEC 27001.