Mira
English

Llámenos directamente

801-341-9304

Seguridad y cumplimiento

Seguridad y cumplimiento, en un solo lugar.

La postura de seguridad de Mira™, cadena BAA, controles HIPAA + 42 CFR 418.58, patrones de integración, registros de auditoría — consolidado para equipos de TI y cumplimiento.

01 — HIPAA + Cadena BAA

Los datos PHI nunca salen de la cadena BAA.

HIPAA exige un Acuerdo de Socio Comercial (BAA) con cada entidad que crea, recibe, mantiene o transmite información de salud protegida (PHI) en nombre de una entidad cubierta. Mira™ ha ejecutado BAAs con cada proveedor de IA en su infraestructura — Anthropic y proveedores compatibles con OpenAI cuando se usan — antes de que cualquier dato relacionado con PHI fuera procesado a través de dichos proveedores. Los datos PHI no fluyen hacia un proveedor sin un acuerdo ejecutado. Esto no es una declaración de política; se aplica a nivel de infraestructura.

El estado del BAA por proveedor — ejecutado, pendiente de revisión o vencido — es visible para los administradores en el panel de administración de Mira™ sin necesidad de una solicitud de soporte ni una llamada con nuestro equipo. Las copias de los acuerdos ejecutados están disponibles para los clientes bajo un acuerdo de confidencialidad mutuo. Los clientes potenciales que realizan la revisión de proveedores pueden solicitar el inventario de BAAs durante el proceso de revisión de seguridad.

La cadena BAA se extiende a cada capa de la infraestructura donde podría estar presente información de pacientes: cómputo, almacenamiento, inferencia de IA, entrega de correo electrónico e infraestructura de registro. El cuestionario de seguridad de Mira™ (disponible a continuación) mapea cada proveedor tercero con su estado BAA y las categorías de datos que maneja.

Para el módulo de cumplimiento completo, incluidos los registros de auditoría de PHI y los flujos de notificación de brechas, consulte el módulo de cumplimiento.

02 — 42 CFR 418.58 QAPI

Los seis elementos QAPI rastreados. Exportación trimestral lista para el expediente del inspector.

42 CFR 418.58 exige que los programas de hospicio mantengan un programa de Evaluación y Mejora de la Calidad y el Rendimiento (QAPI) que aborde seis elementos específicos. Una descripción narrativa no es suficiente — los inspectores revisan la evidencia documental discreta para cada elemento. Mira™ rastrea los seis:

  1. 1
    Estructura organizacional: El estatuto del programa y la composición del equipo se registran en Mira™; los eventos de aprobación del organismo rector se registran con fecha y la parte responsable.
  2. 2
    Proceso: La documentación del flujo de trabajo clínico del módulo clínico de Mira™ alimenta directamente el elemento de proceso; no se requiere ingreso de datos adicional.
  3. 3
    Resultados de pacientes: Los datos de resultados se obtienen del expediente del paciente ya en el sistema — disposición al alta, carga de síntomas y logro de objetivos — sin compilación manual.
  4. 4
    Indicadores de rendimiento: Indicadores configurables rastreados en ventanas rotativas de 90 días con alertas de umbral; los equipos de cumplimiento establecen los objetivos, Mira™ rastrea los datos reales.
  5. 5
    Proyectos de mejora del rendimiento: Los proyectos PI tienen fechas de inicio definidas, objetivos, criterios de medición y estado de cierre; los proyectos abiertos se muestran en el panel QAPI con seguimiento del tiempo hasta la resolución.
  6. 6
    Supervisión del organismo rector: Las actas de reuniones y los eventos de aprobación del organismo rector se almacenan y son recuperables; la exportación trimestral incluye una sección de resumen del organismo rector formateada para la revisión del inspector.

La exportación trimestral compila los seis elementos en un informe estructurado formateado para el expediente del inspector. Los mismos datos están disponibles para la autoevaluación de las Condiciones de Participación de CMS. La exportación se genera a demanda — sin compilación manual, sin ensamblaje de hojas de cálculo.

Análisis completo de QAPI con capturas de pantalla: Módulo de cumplimiento.

03 — Estado SOC2

Auditoría SOC2 Tipo II en progreso. Finalización prevista para el cuarto trimestre de 2026.

La auditoría SOC2 Tipo II de Mira™ está actualmente en progreso. El informe Tipo II tiene como objetivo completarse en el cuarto trimestre de 2026. La auditoría Tipo II cubre los cinco Criterios de Servicios de Confianza relevantes para una plataforma SaaS de atención médica: Seguridad, Disponibilidad, Confidencialidad, Integridad del Procesamiento y Privacidad. La auditoría es realizada por una firma de CPA acreditada bajo los estándares de atestación de la AICPA — Mira™ no se autocertifica en cumplimiento SOC2.

Un cuestionario de seguridad previo a la auditoría está disponible a pedido. El cuestionario cubre controles de acceso, cifrado en reposo y en tránsito, procedimientos de respuesta a incidentes, gestión de proveedores y residencia de datos. Los equipos de adquisiciones y los comités de revisión de seguridad pueden solicitarlo en cualquier momento sin un acuerdo de confidencialidad firmado; la documentación de control completa requiere un acuerdo de confidencialidad mutuo.

Auditoría SOC2 Tipo II en progreso — objetivo cuarto trimestre de 2026. Nombre del auditor aún no público.
04 — Identidad + SSO

SAML 2.0, OIDC, Azure AD, Okta, Google Workspace. Configuración de proveedor de identidad por tenant.

Mira™ admite SAML 2.0 y OIDC para SSO empresarial. La ruta de autenticación del personal funciona a través de MSAL B2C respaldado por Azure Active Directory; las organizaciones pueden federar su propio tenant de Azure AD, Okta o Google Workspace sin la participación de Mira™ en la configuración del proveedor de identidad. Cada organización configura su propio proveedor de identidad — Mira™ no comparte la configuración de identidad entre tenants.

SAML 2.0
OIDC
MSAL B2C
Azure Active Directory
Okta
Google Workspace

Las políticas de acceso condicional, el cumplimiento de las políticas MFA y los controles de tiempo de sesión se delegan al proveedor de identidad de la organización — Mira™ no los anula. Para las organizaciones sin un IdP empresarial existente, MSAL B2C con correo electrónico + MFA es la ruta predeterminada.

Catálogo de integraciones completo, incluidos conectores EMR y configuración de webhooks: Módulo de integraciones.

05 — Seguridad de integración

Webhooks firmados con HMAC-SHA256. OAuth 2.0 + PKCE para EMR. Alcance por integración.

Los webhooks salientes de Mira™ están firmados con HMAC-SHA256 y llevan un encabezado X-Mira-Timestamp. Los sistemas receptores deben verificar la firma y rechazar cualquier solicitud donde la marca de tiempo quede fuera de una ventana de repetición de 300 segundos. Esto previene tanto la manipulación de contenido como los ataques de repetición sin requerir TLS mutuo en el endpoint receptor.

Las conexiones con EMR utilizan OAuth 2.0 con PKCE. No se almacenan credenciales de larga duración del lado de Mira™; los tokens de acceso son de corta duración y están limitados a los permisos mínimos requeridos para la integración. Cada integración lleva una lista de alcances OAuth definida — una integración de facturación no lleva alcances de lectura clínica. Las listas de alcances son visibles para los administradores en el panel de configuración de la integración.

  • Webhooks firmados HMAC-SHA256 con X-Mira-Timestamp; ventana de repetición de 300 segundos aplicada
  • Conexiones EMR via OAuth 2.0 + PKCE; no se almacenan credenciales de larga duración
  • Lista de alcances OAuth por integración; las integraciones de facturación no llevan alcances clínicos
  • Las listas de alcances son visibles para los administradores en el panel de configuración sin solicitud de soporte

Catálogo de integraciones completo y documentación de conectores: Desarrolladores.

06 — Residencia de datos

Solo EE. UU. por defecto. Los datos PHI no salen de la infraestructura de EE. UU. sin consentimiento explícito.

Todas las cargas de trabajo de producción de Mira™ se ejecutan en AWS us-east-1 (principal) y us-west-2 (recuperación ante desastres). Ningún dato PHI de clientes se procesa o almacena fuera de estas dos regiones bajo la configuración predeterminada. Mira™ no opera actualmente en Azure ni GCP; no hay transferencia silenciosa de datos entre nubes en la infraestructura predeterminada.

Las configuraciones multi-región — incluidas regiones fuera de los Estados Unidos — están disponibles en los planes Enterprise para organizaciones con requisitos específicos de residencia. Cualquier configuración que cause que los datos PHI salgan de la infraestructura de EE.UU. requiere un anexo de consentimiento explícito con BAA extendido, firmado por el oficial de cumplimiento del cliente y el equipo de protección de datos de Mira™, antes de habilitarse.

Configuración predeterminada

AWS us-east-1 (principal) + us-west-2 (DR). Sin otras regiones activas.

Enterprise / multi-región

Disponible con consentimiento explícito con BAA extendido. Contacte al equipo de seguridad para hablar.

07 — Registro de auditoría de acceso a PHI

Cada acceso al expediente registrado. Consultable por usuario, paciente o rango de fechas.

Cada acceso a un expediente de paciente por cualquier usuario autenticado queda registrado: identidad del usuario (nombre e ID del sistema), expediente del paciente accedido, acción realizada, marca de tiempo (UTC) y dirección IP de origen. Esto cubre las vistas del expediente, las entradas de documentación, las exportaciones de registros y las anulaciones administrativas — no solo las divulgaciones a terceros como exige el 45 CFR 164.528.

El registro de auditoría es inmutable. Los registros no se pueden modificar ni eliminar a través de la interfaz de la aplicación. Los oficiales de cumplimiento consultan el registro a través del panel de administración — filtran por paciente, por usuario, por rango de fechas o por cualquier combinación. Las exportaciones están disponibles en formato CSV para solicitudes de inspectores, investigaciones de brechas o descubrimiento legal. El formato exportado listo para el inspector permite la inclusión directa en el expediente del inspector.

  • Cada acceso al expediente registrado — no solo las divulgaciones — con usuario, marca de tiempo, IP y acción
  • Registros inmutables: sin modificación ni eliminación a través de la interfaz de la aplicación
  • Consultable por paciente, usuario, rango de fechas, IP o cualquier combinación; exportación CSV disponible
  • Formato de exportación listo para el inspector; sin reformateo manual para el expediente del inspector

Documentación completa del registro de auditoría con capturas de pantalla: Módulo de cumplimiento — registro de auditoría.

08 — Gobernanza de IA

Requiere BAA. Desactivado por defecto por organización. Auditado. Fallo cerrado.

Mira™ incluye 7 funciones de IA en los flujos de trabajo clínicos, de facturación, de cumplimiento y de familias. Todas ellas operan bajo las mismas cuatro reglas de gobernanza:

Requiere BAA

Cada proveedor de IA en la infraestructura de Mira™ tiene un Acuerdo de Socio Comercial firmado antes de que se procesen datos relacionados con PHI. Los datos PHI no fluyen a ningún proveedor de IA sin un BAA ejecutado. El estado del BAA por proveedor es visible para los administradores en el panel.

Desactivado por defecto por organización

Cada organización comienza con todas las funciones de IA desactivadas a nivel de infraestructura — no solo desactivadas en la interfaz. Un administrador debe habilitar activamente cada función para su organización. El estado de desactivado por defecto significa que una nueva organización no puede procesar accidentalmente PHI a través de un proveedor de IA antes de que el equipo de cumplimiento haya revisado la función.

Auditado

Cada llamada de IA se registra con la función invocada, la longitud del prompt, la latencia, el ID de organización, el ID de paciente (cuando corresponda) y el estado de activación en el momento de la llamada. El cuerpo del prompt y la respuesta del modelo nunca se almacenan en el registro de auditoría — solo los metadatos necesarios para la verificación de cumplimiento.

Fallo cerrado

Si un proveedor de IA no está disponible, el flujo de trabajo clínico o de facturación continúa sin interrupción usando la ruta sin IA. No se encolan datos para reintentos contra el proveedor de IA. La función degrada graciosamente — el expediente del paciente, el reclamo o el informe se produce sin la mejora de IA en lugar de bloquear el flujo de trabajo.

El panel de administración muestra el estado de activación de cada función de IA por organización junto con el estado BAA de cada proveedor. Los equipos de cumplimiento pueden auditar la adopción de funciones de IA en toda la organización sin necesidad de un ticket de soporte.

Catálogo completo de las 7 funciones de IA con casos de uso clínicos y de facturación: Módulo de IA.

Cuestionario de seguridad

Cuestionario de seguridad prellenado disponible.

El cuestionario de seguridad prellenado de Mira™ cubre controles de acceso, cifrado en reposo y en tránsito, respuesta a incidentes, gestión de proveedores (incluido el inventario completo de BAA), gestión de cambios y residencia de datos. Formateado para los procesos estándar de revisión de adquisiciones.

Descargar cuestionario de seguridad prellenado (PDF) →

Si la descarga no está disponible aún, envíe un correo a security@usemirahealth.com y le enviaremos la versión más reciente en un día hábil.

¿Listo para completar su revisión de seguridad?

Apoyamos revisiones con acuerdo de confidencialidad de los acuerdos BAA, controles SOC2, arquitectura de integración y el marco de gobernanza de IA. Traiga a su equipo de seguridad o a su auditor externo — 30 minutos, sin diapositivas, sin guión.