Plataforma · Cumplimiento
Mira™ Cumplimiento.
Reportes QAPI 42 CFR 418.58, registros PHI, flujos de notificación de incidentes, IA con BAA. Cumplimiento incorporado, no añadido.
Infraestructura de cumplimiento que inspectores y auditores pueden verificar.
El cumplimiento en hospicio no es un ejercicio de marcar casillas. El 42 CFR 418.58 requiere un programa de Evaluación y Mejora de la Calidad y el Rendimiento (QAPI) funcional con seis elementos distintos — no un reporte que marque una casilla. La HIPAA exige que cada entidad cubierta pueda producir un registro completo de acceso a cualquier expediente PHI bajo demanda. El plazo de notificación de incidentes de 60 días bajo el 45 CFR 164.412 comienza desde la fecha en que la organización descubre el incidente, no cuando la investigación concluye.
Mira™ está construida para satisfacer estos requisitos con evidencia, no con aseveraciones. El registro de auditoría PHI registra cada evento de acceso: identidad del usuario, expediente del paciente accedido, marca de tiempo y dirección IP. El módulo QAPI rastrea los seis elementos requeridos y produce una exportación trimestral formateada para el archivo del inspector. El flujo de notificación de incidentes inicia el conteo regresivo de 60 días en el momento en que se registra un incidente. Estas no son funciones configurables — están activas y produciendo registros desde la primera admisión de paciente.
Las funciones de IA conllevan obligaciones de cumplimiento adicionales en un contexto de salud. Cada llamada de IA en Mira™ está respaldada por un Acuerdo de Socio Comercial (BAA) firmado con el proveedor. Las funciones de IA de cada organización están desactivadas por defecto; un administrador las habilita por organización. Cada llamada de IA se registra con la función invocada, la longitud del prompt, la latencia y el estado de opt-in en el momento de la llamada. El cuerpo del prompt y la respuesta del modelo nunca se almacenan en el registro de auditoría.
Áreas de cumplimiento cubiertas
- ✓ Registro de auditoría PHI — cada acceso al expediente registrado con usuario, fecha, IP
- ✓ QAPI 42 CFR 418.58 — seguimiento de 6 elementos con exportación trimestral para el archivo del inspector
- ✓ Notificación de incidentes — conteo de 60 días inicia al registrar el incidente (45 CFR 164.412)
- ✓ BAA + opt-in IA por organización — BAA con cada proveedor de IA; desactivado por defecto
- ✓ SOC2 Tipo II — auditoría en progreso; objetivo de finalización 2026 Q4
Lo que los oficiales de cumplimiento solicitan
- → "Muéstreme cada acceso al expediente de este paciente en los últimos 90 días" — consultable en segundos
- → "Necesitamos el reporte QAPI para el archivo del inspector" — exportación trimestral disponible bajo demanda
- → "¿Cuándo se descubrió el incidente y cuándo comenzó el conteo?" — registrado al crear el incidente
- → "¿Qué funciones de IA están activas en qué organizaciones?" — panel admin con estado por organización
- → "¿Sus proveedores de IA tienen BAAs firmados?" — sí; acuerdos ejecutados disponibles bajo NDA
- → "¿Cuál es su estado SOC2?" — auditoría Tipo II en progreso; Tipo I completado; reporte disponible bajo NDA
Cada acceso al expediente registrado. Consultable por paciente, usuario, rango de fechas o IP.
El requisito de Registro de Divulgaciones (Accounting of Disclosures) de HIPAA bajo el 45 CFR 164.528 permite a los pacientes solicitar un registro de divulgaciones. El registro de auditoría de Mira™ va más lejos: registra cada acceso a un expediente de paciente por cualquier usuario autenticado — no solo las divulgaciones a terceros, sino cada vista de expediente interno, entrada de documentación y exportación de registros. Cada evento captura la identidad del usuario (nombre e ID del sistema), el expediente del paciente accedido, la acción realizada, la marca de tiempo (UTC) y la dirección IP de origen.
El registro de auditoría es inmutable. Los registros no se pueden modificar ni eliminar a través de la interfaz de la aplicación. Las consultas están disponibles para los oficiales de cumplimiento a través del panel de administración — filtre por paciente, por usuario, por rango de fechas o por cualquier combinación. Las exportaciones están disponibles en formato CSV para su uso en informes de investigación, solicitudes del inspector o descubrimiento legal.
El registro de auditoría de IA es un flujo separado, ubicado junto al anterior. Cada invocación de función de IA se registra junto a los eventos de acceso PHI estándar: nombre de función, longitud del prompt, latencia, estado de opt-in y los IDs del paciente y la organización involucrados. El cuerpo del prompt y la respuesta del modelo nunca se registran — solo los metadatos necesarios para la verificación de cumplimiento.
- – Registra cada acceso al expediente — no solo divulgaciones a terceros — con usuario, fecha, IP
- – Registros inmutables: sin modificación ni eliminación a través de la interfaz de la aplicación
- – Consultable por paciente, usuario, rango de fechas, IP o cualquier combinación; exportación CSV disponible
- – Eventos de auditoría IA co-ubicados: función, longitud del prompt, latencia — nunca el cuerpo del prompt ni la respuesta
- 1 Cada acceso al expediente registrado con usuario, fecha, IP.
- 2 Filtre por paciente, usuario o rango de fechas.
- 1 Los 6 elementos QAPI: estructura, proceso, resultados, desempeño, indicadores, proyectos.
- 2 Exportación trimestral lista para el archivo del inspector.
Los seis elementos QAPI requeridos. Exportación trimestral lista para el archivo del inspector.
El 42 CFR 418.58 requiere que los programas de hospicio mantengan un programa QAPI que aborde seis elementos específicos: estructura organizacional, proceso, resultados del paciente, indicadores de desempeño, proyectos de mejora del desempeño y supervisión del órgano de gobierno. Los inspectores evalúan estos elementos a partir de evidencia documental — una descripción narrativa del programa no es suficiente.
El módulo QAPI de Mira™ rastrea cada uno de los seis elementos con datos discretos: la estructura se registra a través del acta del programa y la composición del equipo; el proceso se documenta a través del seguimiento del flujo de trabajo integrado en el módulo clínico; los resultados se extraen de los datos del paciente ya en el sistema; los indicadores de desempeño son configurados por el equipo de cumplimiento y se rastrean en ventanas móviles de 90 días; los proyectos de mejora del desempeño tienen fechas de inicio definidas, objetivos, criterios de medición y estado de cierre; la supervisión del órgano de gobierno se documenta a través de registros de reuniones y eventos de aprobación.
La exportación trimestral compila los seis elementos en un informe estructurado formateado para el archivo del inspector. Los mismos datos están disponibles para la autoevaluación de las Condiciones de Participación de CMS. El informe se genera bajo demanda — sin necesidad de compilación manual.
- – 6 elementos según 42 CFR 418.58: estructura, proceso, resultados, indicadores, proyectos PI, órgano de gobierno
- – Indicadores de desempeño rastreados en ventanas móviles de 90 días con umbrales configurables
- – Proyectos PI con fecha de inicio, objetivo, criterios de medición y estado de cierre
- – Exportación trimestral formateada para el archivo del inspector; disponible bajo demanda; sin compilación manual
El conteo de 60 días inicia al registrar el incidente. No al cerrar la investigación.
Bajo el 45 CFR 164.412, una entidad cubierta debe proporcionar notificación de incidentes a los individuos afectados no más tarde de 60 días calendario después de la fecha de descubrimiento del incidente — no 60 días después de que la investigación esté completa, no 60 días después de la revisión legal, no 60 días después de que el incidente sea confirmado. El reloj comienza en el descubrimiento. Las organizaciones que tratan la ventana de 60 días como si comenzara al final de su proceso de investigación están malinterpretando la regulación y aceptando riesgo de sanción evitable.
El flujo de incidentes de Mira™ inicia el reloj cuando se crea un incidente en el sistema. La fecha de descubrimiento se registra en la creación y no puede ser retroactiva. La fecha límite de 60 días aparece en el registro del incidente, en la cola de incidentes y en el resumen diario de cumplimiento para cualquier incidente abierto que se acerque a las marcas de 30, 45 y 60 días. El flujo rastrea los elementos de notificación requeridos: individuos afectados, categorías de PHI afectadas, naturaleza del incidente, medidas tomadas y fecha en que se envió la notificación individual.
- – Fecha de descubrimiento registrada al crear el incidente — no puede ser retroactiva
- – Plazo de 60 días calculado según 45 CFR 164.412 y visible en el registro del incidente y la cola
- – Alertas de escalación a los 30, 45 y 60 días para todos los incidentes abiertos
- – Rastrea los elementos de notificación requeridos: individuos afectados, categorías PHI, naturaleza, medidas, fecha de envío
- 1 El conteo de 60 días para notificación inicia al registrar el incidente.
- 1 BAA firmados con cada proveedor de IA. Estado por proveedor visible para admins.
BAA ejecutado con cada proveedor de IA antes de que fluya cualquier dato. Todas las funciones de IA desactivadas por defecto.
Un Acuerdo de Socio Comercial debe estar en vigor con cualquier entidad que crea, recibe, mantiene o transmite PHI en nombre de una entidad cubierta o socio comercial — incluyendo proveedores de IA cuando sus modelos procesan datos del paciente como parte del servicio. Mira™ ha ejecutado BAAs con cada proveedor de IA en uso antes de que cualquier dato adyacente a PHI fuera procesado a través de esos proveedores. Copias de los acuerdos ejecutados están disponibles para los clientes bajo NDA.
El opt-in por organización no es un gesto de cumplimiento — es la arquitectura. Cada organización de Mira™ comienza con todas las funciones de IA deshabilitadas a nivel de infraestructura. Un administrador debe habilitar afirmativamente cada función para su organización. El estado desactivado por defecto significa que una nueva organización no comienza accidentalmente a procesar datos a través de proveedores de IA antes de que su equipo de cumplimiento haya revisado la función y el BAA asociado.
El panel de administración muestra el estado del BAA por proveedor — ejecutado, pendiente de revisión o vencido — y el estado de opt-in de cada función de IA por organización. Ambos son visibles para los oficiales de cumplimiento sin requerir un ticket de soporte ni una llamada con el equipo de Mira™.
- – BAA ejecutado con cada proveedor de IA antes de procesar datos relacionados con PHI; copias disponibles bajo NDA
- – Todas las funciones de IA deshabilitadas por defecto a nivel de infraestructura — no solo en la interfaz
- – El admin habilita cada función de IA por organización; la decisión y la fecha de habilitación se registran en auditoría
- – Panel admin: estado de BAA por proveedor (ejecutado/pendiente/vencido) y estado de opt-in por organización
Auditoría SOC2 Tipo II en progreso. Objetivo de finalización 2026 Q4.
El SOC2 Tipo I evalúa si los controles existen y están diseñados apropiadamente en un momento dado. El SOC2 Tipo II evalúa si esos controles operaron efectivamente durante un período definido — típicamente seis a doce meses. La auditoría Tipo I de Mira™ está completa. El período de observación Tipo II está en curso. El informe Tipo II tiene como objetivo su finalización en el Q4 de 2026.
Los controles bajo auditoría abarcan los cinco Criterios de Servicios de Confianza relevantes para una plataforma SaaS de salud: Seguridad (CC6, CC7, CC8, CC9), Disponibilidad (A1), Confidencialidad (C1), Integridad del Procesamiento (PI1) y Privacidad (P1–P8). La auditoría es realizada por una firma de CPA acreditada bajo los estándares de atestiguamiento de AICPA. Mira™ no se autocertifica en cumplimiento SOC2.
La documentación de controles actual — incluyendo la política de seguridad, procedimientos de control de acceso, procedimientos de respuesta a incidentes y marco de gestión de proveedores — está disponible para clientes potenciales bajo un NDA mutuo. La página de estado SOC2 en el panel de administración muestra la fase de auditoría actual y la fecha proyectada de finalización del Tipo II para que los equipos de cumplimiento puedan dar seguimiento sin una solicitud de soporte.
- – SOC2 Tipo I completo; período de observación Tipo II en curso; informe Tipo II objetivo 2026 Q4
- – Cinco Criterios de Servicios de Confianza: Seguridad, Disponibilidad, Confidencialidad, Integridad del Procesamiento, Privacidad
- – Realizado por firma de CPA acreditada bajo estándares AICPA — no autocertificado
- – Documentación de controles actual disponible bajo NDA mutuo; panel admin muestra fase de auditoría en tiempo real
- 1 Auditoría SOC2 Tipo II en progreso. Objetivo de finalización 2026 Q4.
Recorra el flujo de cumplimiento en 60 segundos.
Panel admin → consulta de auditoría PHI → exportación QAPI → BAA + opt-in IA → notificación de incidentes → registro IA. Seis pasos.
Panel del admin
Hub de cumplimiento: auditoría, QAPI, cola de incidentes, BAA.
Cómo encaja el cumplimiento en el panorama general.
Mira™ IA
Cada función de IA en Mira™ está respaldada por los controles de cumplimiento descritos aquí. La ejecución del BAA, el opt-in por organización y el registro de auditoría de IA son la infraestructura que hace posible la IA responsable en un contexto HIPAA — no una capa opcional encima de las funciones de IA.
Explorar IA →Mira™ Familiar
El módulo de firma de consentimiento del portal familiar se integra directamente en el expediente de cumplimiento. Los formularios de consentimiento digitales con firma en lienzo se almacenan como registros inmutables en la misma infraestructura de auditoría que los eventos de acceso PHI — consultables por el equipo de cumplimiento de la misma manera.
Explorar Familiar →Véalo en vivo
Reserve una demo de 30 minutos enfocada en cumplimiento. Traiga una pregunta regulatoria específica — un hallazgo del inspector, un escenario de incidente, una revisión de proveedor de IA — y recorreremos exactamente qué produce Mira como evidencia. Sin diapositivas, sin generalidades.
Solicitar una demo →¿Listo para revisar la evidencia de cumplimiento de Mira™ con su oficial de cumplimiento?
Apoyamos revisiones bajo NDA de nuestros controles SOC2, acuerdos BAA y arquitectura de registro de auditoría. Traiga a su oficial de cumplimiento o a su auditor externo. 30 minutos, sin presentación de ventas.