Se trata de una pregunta que rara vez se formula de modo explícito, pero que es recurrente en la reflexión de todo titular antes de firmar con un proveedor cloud: ¿dónde acaba mi cartera de clientes?
Cada laboratorio cliente de CadCamCloud constituye un tenant separado. Cartera de clientes EU, archivos STL, prescripciones, volúmenes, frecuencias de pedido: todo reside en un espacio lógico aislado. La plataforma es multi-tenant strict — cada consulta a la base de datos filtra por tenant_id, sin excepción. Ningún otro laboratorio en la plataforma visualiza sus datos.
Nuestra consola de administración accede exclusivamente a métricas agregadas del sistema — cuántas clínicas están activas, en qué países, volúmenes macro. Estos datos tienen una sola finalidad: dimensionar servidores y hosting en función del volumen real de trabajo de la plataforma. Jamás un nombre, jamás una dirección de correo, jamás un archivo. Cada acceso administrativo se registra en un audit log append-only verificable por el partner Enterprise a petición.
La infraestructura opera sobre servidores Hetzner, centro de datos Milán. Ningún dato sanitario sale del perímetro UE. El proveedor de almacenamiento cloud opera en centros de datos UE. Ningún CDN estadounidense para los datos clínicos, ninguna copia de seguridad en cloud extra-UE. RGPD by design, no como declaración de fachada.
Los archivos DICOM (CBCT, TC, series radiológicas endorales) constituyen PHI — Protected Health Information según el art. 9 RGPD: contienen el nombre del paciente, el código identificativo, el centro sanitario, el médico referente. Por este motivo la carga DICOM está disponible exclusivamente en los planes Premium y Enterprise, donde la plataforma aplica un escaneo antivirus dedicado en segundo plano con cuarentena automática, una notificación PHI específica firmada en el onboarding y una opción de anonimización opt-in del lado de la clínica.
En los planes Basic y Pro la carga DICOM no está habilitada: la plataforma bloquea el flujo con un mensaje de upgrade explícito. El reconocimiento se realiza por extensión (.dcm, .dicom, .dic, .ima, .img) o magic-byte DICM, y no puede eludirse renombrando archivos de otro tipo. Todos los demás formatos siguen accesibles en todos los planes dentro de los límites estándar.
Cada envío recibido genera un PDF/A — norma ISO 19005, conforme con las Directrices AGID — con cartera de clientes, formulario cumplimentado, archivos adjuntos con suma de verificación criptográfica, marca temporal y UUID único. El form_data no dispone de endpoint de modificación post-envío: lo que se ha transmitido no puede ser alterado.
El documento se conserva diez años, en consonancia con lo que el Reglamento UE 2017/745 exige al fabricante de dispositivos médicos a medida. Un QR en el PDF remite a una página de verificación pública accesible sin autenticación.
Instantánea diaria de la base de datos y del almacenamiento, retención de treinta días en ventana móvil. Copia de seguridad off-site en proveedor UE distinto para la recuperación ante desastres. Pruebas de restauración periódicas internas; para los contratos Enterprise, auditoría independiente acordable en cláusula SLA.
Para quienes gestionan datos sensibles en volumen significativo (redes multi-sede, Enterprise) es posible preparar un análisis técnico dedicado, un DPA personalizado y cláusulas de SLA.