Cifrado en sesiones grabadas: lo que hacemos y lo que no podemos prometer
Una explicación honesta de cómo protegemos los datos de las sesiones en CauceOS: TLS 1.3 en tránsito, AES-256 en reposo, retención corta, y qué limitaciones estructurales existen en cualquier sistema de asistencia por IA.
Cuando alguien nos pregunta "¿cómo protegen mis datos?", podemos dar dos tipos de respuesta. La respuesta de marketing: "usamos cifrado de extremo a extremo y tus datos están completamente seguros." La respuesta honesta: "usamos cifrado robusto, pero hay limitaciones estructurales en cualquier sistema de asistencia por IA que debes entender."
Esta es la respuesta honesta.
Qué sí hacemos
Cifrado en tránsito con TLS 1.3. Toda comunicación entre tu navegador, el bot, y nuestros servidores viaja cifrada con TLS 1.3 — el estándar más moderno y seguro disponible. Esto significa que si alguien intercepta el tráfico de red, no puede leer lo que se transmite.
Cifrado en reposo con AES-256. El audio de las sesiones, las transcripciones, y los reportes se almacenan cifrados en reposo usando AES-256. La clave de cifrado no se almacena junto con los datos.
Retención corta por defecto. Las grabaciones de audio se eliminan automáticamente después de que se genera la transcripción. Las transcripciones y reportes se retienen por defecto durante 90 días — no indefinidamente. Al final de ese período, los datos se archivan en formato encriptado o se eliminan según la preferencia del usuario.
Derecho de eliminación inmediata. Si un profesional quiere eliminar todos sus datos, puede hacerlo. No es un proceso que toma semanas y requiere escribir a un equipo de soporte — es un botón en la configuración que ejecuta la eliminación de forma permanente.
Audit logs de acceso. Cada vez que alguien de nuestro equipo accede a datos de una sesión — por razones de soporte técnico, por ejemplo — queda registrado con timestamp y razón. El profesional puede solicitar ese log.
Control de acceso por rol. En equipos con workspace compartido, solo los miembros con permisos explícitos pueden ver las sesiones de otros. El propietario de la cuenta controla quién tiene acceso a qué.
Qué no podemos prometer
Aquí viene la parte que la mayoría de los productos de seguridad prefiere no mencionar.
No podemos ofrecer zero-knowledge. Zero-knowledge significa que ni siquiera nosotros podemos leer tus datos — porque están cifrados con una clave que solo tú tienes. Es el estándar más alto de privacidad.
El problema es estructural: CauceOS es un sistema de asistencia por IA. El modelo de lenguaje necesita leer el texto de la transcripción para generar sugerencias, alertas, y reportes. Si los datos estuvieran cifrados con una clave que solo el profesional tiene, el sistema no podría procesarlos.
Esto no es una limitación específica de CauceOS. Es una limitación de cualquier sistema que usa IA para analizar contenido. Herramientas como Otter, Fathom, o cualquier sistema de notas automatizadas tienen la misma limitación estructural.
No podemos garantizar que una brecha sea imposible. Ningún sistema conectado a internet puede hacer esa promesa. Lo que podemos prometer es que seguimos las mejores prácticas de la industria para reducir la probabilidad y el impacto de una brecha, y que tenemos un protocolo de respuesta a incidentes que incluye notificación a los afectados.
No somos una solución certificada HIPAA. Si tu práctica requiere cumplimiento estricto con HIPAA — procesas PHI de pacientes en contexto clínico en Estados Unidos — CauceOS no es la herramienta correcta en este momento. Trabajamos hacia esa certificación, pero hacerlo prematuramente sería deshonesto.
Por qué somos explícitos sobre esto
Hemos visto productos de asistencia clínica que prometen "cifrado de extremo a extremo" sin explicar que el modelo de IA necesita leer el contenido para funcionar. Eso es, en el mejor caso, impreciso.
Los profesionales que trabajan con información sensible merecen entender exactamente qué protección tienen y dónde están los límites. Solo con esa información pueden tomar decisiones informadas sobre qué herramientas usar en qué contextos.
Construimos CauceOS para ser dignos de la confianza de esos profesionales. Eso empieza por ser honestos sobre lo que podemos y no podemos prometer.
¿Tienes preguntas específicas sobre seguridad que no cubrimos aquí? Escríbenos a security@cauceos.com. Respondemos directamente.
Más en esta categoría
ComplianceCauceOS · Newsletter
Recibe las próximas notas directo a tu correo
Reflexiones, prácticas y novedades de CauceOS. Sin spam. Te puedes dar de baja cuando quieras.
Continúa leyendo
Complianceconsentimiento informado
Consentimiento del paciente cuando un bot asiste tu sesión: cómo lo manejamos
Si un sistema asistivo escucha una sesión clínica, el consentimiento del paciente deja de ser opcional. Así anunciamos la presencia del co-pilot, qué información se almacena, por cuánto tiempo, y cómo se borra bajo demanda.
Investigacióntraducción cruzada
¿Qué tan precisa es la traducción cruzada en sesiones reales? Estudio interno con 50 sesiones bilingües
Medimos la precisión de traducción en 50 sesiones bilingües ES↔EN con evaluación humana. 92% en frases neutras, 84% en términos clínicos, 78% en jerga regional. Lo que aprendimos y lo que aún falta.
HRentrevistas técnicas
Entrevistas técnicas: cómo medir señales más allá de las respuestas correctas
El mejor candidato no es el que tiene la mejor respuesta sino el que muestra el mejor proceso. Cómo CauceOS marca los momentos que revelan cómo piensa alguien — no solo qué sabe.