Ingeniería de confianza.
CUR trata datos clínicos. La seguridad no es una función añadida: es una decisión de arquitectura desde la primera línea de código.
Security by Design
Cada componente del sistema se diseña asumiendo que puede ser atacado. Superficies mínimas, secretos separados por responsabilidad, entornos aislados y revisiones obligatorias antes de tocar producción.
Cifrado de datos
TLS 1.3 en tránsito. Cifrado at-rest en la base de datos gestionada. Los secretos se almacenan fuera del código y se rotan de forma sistemática. Ninguna credencial vive en el frontend.
Control de acceso
Autenticación firmada con HMAC-SHA-256 y clave dedicada, separada de la contraseña de acceso. Tokens de sesión con TTL corto. Roles operativos con principio de mínimo privilegio.
Auditoría y trazabilidad
Cada intento de acceso, cada consulta procesada y cada cambio de estado del sistema queda registrado con timestamp UTC e IP de origen. Los registros se conservan de forma inmutable para facilitar la trazabilidad clínica y de seguridad.
Infraestructura
Despliegue sobre orquestador gestionado con TLS terminado en el ingress, rate limiting perimetral y CORS restringido por origen. Backups automáticos, snapshots cifrados y planes documentados de recuperación.
IA responsable
El modelo de lenguaje que asiste a los clínicos opera bajo un system prompt auditable, con validación estructural de la respuesta y trazabilidad del razonamiento. La IA nunca emite diagnósticos: presenta hipótesis rankeadas como apoyo al profesional.
Responsible Disclosure
Si detectas una vulnerabilidad, escríbenos a security@curveterinaria.com. Nos comprometemos a responder en menos de 72 horas, reconocer públicamente al descubridor cuando lo autorice y coordinar el parcheo antes de cualquier divulgación.
Estado del sistema
Publicamos disponibilidad y componentes en la página pública de estado. Los cambios de estado se notifican vía suscripción por email. Consulta /status.