Documentación para Comités de Ética

Trialinx es una plataforma integral de recopilación de datos de investigación clínica diseñada para apoyar a los investigadores en la realización de estudios clínicos éticos, conformes y seguros. La plataforma proporciona herramientas para la gestión de estudios, recopilación de datos, colaboración y análisis mientras mantiene los más altos estándares de seguridad de datos y cumplimiento regulatorio.

Propósito

Trialinx permite a los investigadores recopilar, gestionar y analizar datos de investigación clínica en un entorno seguro y conforme que cumple con los requisitos regulatorios incluyendo HIPAA, 21 CFR Parte 11, GDPR y FISMA.

Características Principales

• Colaboración en estudios multi-usuario con control de acceso basado en roles
• Constructor de formularios flexible con esquemas versionados
• Entrada de datos validada con validación en tiempo real
• Paneles personalizables con tarjetas KPI, tablas y gráficos
• Generación de formularios asistida por IA y análisis estadístico
• Colaboración y actualizaciones en tiempo real
• Registro de auditoría integral para todas las acciones
• Firmas electrónicas conformes con 21 CFR Parte 11
• Funciones de exportación y portabilidad de datos

Usuarios Objetivo

Trialinx está diseñado para investigadores clínicos, coordinadores de estudios, investigadores principales e instituciones de investigación que realizan ensayos clínicos y estudios observacionales.

Cifrado en Reposo

Todos los datos almacenados en nuestra base de datos están cifrados en reposo usando cifrado AES-256 estándar de la industria proporcionado por nuestro proveedor de base de datos (Neon Postgres).

• Cifrado de Base de Datos: Todos los datos almacenados en bases de datos Neon Postgres están cifrados en reposo usando cifrado AES-256
• Cifrado de Copias de Seguridad: Las copias de seguridad automatizadas están cifradas usando los mismos estándares de cifrado
• Gestión de Claves: Las claves de cifrado son gestionadas por Neon y siguen las mejores prácticas de la industria

Cifrado en Tránsito

Todos los datos transmitidos entre clientes y servidores están cifrados usando TLS (Transport Layer Security):

• HTTPS/TLS: Todos los endpoints de API e interfaces web usan HTTPS con TLS 1.2 o superior
• Conexiones de Base de Datos: Todas las conexiones a la base de datos usan conexiones cifradas (SSL/TLS)
• Protocolos Seguros: Aplicamos el uso de protocolos seguros y suites de cifrado

Control de Acceso Basado en Roles (RBAC)

Trialinx implementa control de acceso basado en roles de grano fino con cuatro roles distintos:

• Visualizador: Acceso de solo lectura, solo puede ver paneles
• Colaborador: Puede ver y completar formularios, ver sus propios registros, editar sus propios registros, ver colaboradores, ver detalles del estudio y ver sujetos
• Gerente: Permisos completos del estudio incluyendo editar cualquier registro, gestionar colaboradores, editar/eliminar estudios y todos los permisos de colaborador
• Propietario: Control completo sobre el estudio incluyendo todos los permisos de gerente más eliminación de estudios y transferencia de propiedad

Autenticación

Autenticación estándar de la industria usando Better Auth con gestión de sesiones del lado del servidor:

• Requisitos de Contraseña: Mínimo 8 caracteres con mayúsculas, minúsculas, número y carácter especial
• Verificación de Email: Todas las cuentas requieren direcciones de email verificadas para mayor seguridad
• Autenticación de Dos Factores (2FA): Autenticación de dos factores opcional disponible para seguridad adicional de la cuenta
• Soporte OAuth: Iniciar sesión con Google o LinkedIn (opcional)
• Gestión de Sesiones: Las sesiones expiran después de 24 horas de inactividad, se actualizan cuando se usan activamente

Protección contra Inyección SQL

Todas las consultas de base de datos usan consultas parametrizadas a través de Drizzle ORM, lo que previene ataques de inyección SQL:

• Consultas Parametrizadas: Todas las consultas usan declaraciones parametrizadas que separan el código SQL de los datos
• Sanitización de Entrada: La entrada del usuario se valida y sanitiza antes de usarse en consultas
• Protección ORM: El uso de una capa ORM (Mapeo Objeto-Relacional) proporciona protección adicional contra inyección SQL

HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)

Trialinx implementa medidas integrales de cumplimiento HIPAA:

• Controles de Acceso: Control de acceso basado en roles implementado con permisos de grano fino
• Registro de Auditoría: Trails de auditoría integrales para todas las acciones con registros inmutables
• Cifrado de Datos: Cifrado en reposo y en tránsito usando métodos estándar de la industria
• Acuerdos de Asociado Comercial (BAAs): Los BAAs deben establecerse con proveedores de servicios que manejen PHI

21 CFR Parte 11 (Registros y Firmas Electrónicas de la FDA)

Trialinx implementa firmas electrónicas que cumplen con 21 CFR Parte 11:

• Firmas Electrónicas: Firmas criptográficas con trail de auditoría completo
• Verificación de Firmas: Cada firma se verifica y almacena con ID de usuario, marca de tiempo, dirección IP, agente de usuario y hash criptográfico
• Registros Inmutables: Los registros firmados no pueden modificarse después de firmar
• Registro de Auditoría: Registros de auditoría inmutables para todas las acciones del sistema
• Controles de Acceso: Autenticación y autorización de usuarios
• Validación del Sistema: Los procedimientos de validación del sistema deben documentarse (proceso fuera del código)

GDPR (Reglamento General de Protección de Datos)

Trialinx cumple con los requisitos GDPR para protección de datos:

• Minimización de Datos: Solo se recopilan y almacenan datos necesarios
• Derecho de Acceso: Los usuarios pueden exportar sus datos en formato legible por máquina
• Derecho al Olvido: Los usuarios pueden eliminar sus cuentas y datos
• Portabilidad de Datos: Los usuarios pueden exportar sus datos en formato JSON
• Política de Privacidad: Política de privacidad integral que aborda recopilación, uso y derechos del usuario

FISMA (Ley Federal de Gestión de Seguridad de la Información)

Trialinx implementa controles de seguridad alineados con los requisitos FISMA:

• Gestión de Riesgos: Las medidas de seguridad se implementan y documentan
• Controles de Seguridad: Controles de acceso, cifrado, registro de auditoría
• Respuesta a Incidentes: Los procedimientos de respuesta a incidentes deben establecerse (proceso fuera del código)
• Monitoreo Continuo: El monitoreo de seguridad debe ser continuo (proceso fuera del código)

Arquitectura de Base de Datos

Trialinx usa PostgreSQL como base de datos principal, alojada en Neon (una plataforma Postgres sin servidor):

• Proveedor de Base de Datos: Neon Postgres (PostgreSQL sin servidor)
• ORM: Drizzle ORM para consultas de base de datos con seguridad de tipos
• Tipos de Datos: Soporte para datos estructurados, JSON, marcas de tiempo y relaciones
• Escalabilidad: La arquitectura sin servidor permite escalado automático según la demanda

Registro de Auditoría

Cada acción significativa en el sistema se registra con información detallada:

• Tipos de Acción: Crear, actualizar, eliminar, publicar, archivar, invitar, eliminar miembro, cambiar rol, firmar, exportar, importar
• Tipos de Entidad: Estudios, formularios, sujetos, registros, paneles, miembros, solicitudes de IA, suscripciones
• Información de Registro: ID de usuario, ID de estudio, tipo y ID de entidad, acción realizada, dirección IP, agente de usuario, marca de tiempo, valores antiguos (para actualizaciones), valores nuevos (para actualizaciones/creaciones)
• Período de Retención: Los registros de auditoría se retienen indefinidamente para fines de cumplimiento (HIPAA, 21 CFR Parte 11)
• Registros Inmutables: Los registros de auditoría no pueden ser modificados o eliminados por usuarios
• Control de Acceso: Los registros de auditoría son accesibles solo para personal autorizado con permisos apropiados

Copia de Seguridad y Recuperación de Datos

Los procedimientos automatizados de copia de seguridad y recuperación aseguran la disponibilidad de datos:

• Frecuencia: Las copias de seguridad automatizadas se realizan regularmente por nuestro proveedor de base de datos (Neon)
• Retención: Las políticas de retención de copias de seguridad se configuran según los requisitos de cumplimiento
• Cifrado: Todas las copias de seguridad están cifradas en reposo
• Pruebas de Recuperación: Los procedimientos de restauración de copias de seguridad se prueban regularmente para asegurar que los datos puedan recuperarse
• RTO/RPO: Los procedimientos de recuperación están diseñados para cumplir con los objetivos de Tiempo de Recuperación (RTO) y Punto de Recuperación (RPO)

Políticas de Retención de Datos

Trialinx sigue principios de minimización de datos y proporciona capacidades de gestión de datos:

• Minimización de Datos: Solo se recopilan y almacenan datos necesarios para el propósito de la investigación
• Eliminación de Cuenta: Los usuarios pueden solicitar la eliminación de su cuenta, lo que eliminará su cuenta de usuario, estudios que poseen, registros de formularios que crearon, paneles que crearon y eliminará sus membresías de estudio
• Retención de Registros de Auditoría: Los registros de auditoría se retienen para fines de cumplimiento y pueden no eliminarse inmediatamente
• Exportación de Datos: Los usuarios pueden exportar todos sus datos personales en formato JSON

Capacidades de IA

Trialinx incluye funciones asistidas por IA para mejorar los flujos de trabajo de investigación:

• Generación de Formularios: La IA genera múltiples formularios a partir de descripciones de estudios con validación
• Análisis Estadístico: Análisis estadístico automatizado con ejecutor de Python, generando planes de análisis, tablas, gráficos e interpretaciones
• Validación: Las respuestas de IA se validan con esquemas Zod con intentos de reparación automática

Manejo de PHI y Desidentificación

Medidas de privacidad y seguridad para procesamiento de IA:

• Los campos de PHI de texto libre se excluyen de los prompts de IA por defecto
• Los usuarios pueden optar por incluir campos PHI (con advertencia)
• Los datos se desidentifican antes del análisis
• Todas las interpretaciones incluyen limitaciones y advertencias

Consentimiento del Usuario y Mecanismos de Opt-in

Los usuarios tienen control completo sobre el procesamiento de IA de sus datos:

• Opt-in Requerido: Los usuarios deben optar explícitamente por incluir campos PHI en el procesamiento de IA
• Advertencias Claras: Se advierte a los usuarios sobre la inclusión de PHI antes del procesamiento
• Transparencia: Todo el contenido generado por IA incluye limitaciones y advertencias

Política de Privacidad

Una política de privacidad integral aborda:

• Prácticas de recopilación de datos
• Uso y procesamiento de datos
• Políticas de intercambio de datos
• Derechos del usuario (derechos GDPR)
• Uso de cookies
• Políticas de retención de datos
• Medidas de seguridad
• Información de contacto para consultas de privacidad

Términos de Servicio

Los términos de servicio describen:

• Políticas de uso aceptable
• Responsabilidades del usuario
• Limitaciones del servicio
• Exenciones de responsabilidad
• Procedimientos de resolución de disputas

Acuerdos de Asociado Comercial (BAAs)

Trialinx puede usar proveedores de servicios que manejan Información de Salud Protegida (PHI). Nota: Los BAAs deben establecerse y mantenerse por equipos legales/de cumplimiento. Este es un requisito legal y debe manejarse fuera de la implementación técnica.

• Neon Postgres: Proveedor de base de datos - Los BAAs deben establecerse según sea necesario
• Servicios de Email: Proveedores de servicios de email - Los BAAs deben establecerse según sea necesario
• Otros Proveedores: Proveedores de servicios adicionales que manejan PHI deben tener BAAs en su lugar

Información de Contacto

Para preguntas sobre seguridad, cumplimiento o privacidad, por favor contacte a su equipo de cumplimiento o administrador del sistema. La información de contacto está disponible en la política de privacidad y términos de servicio de la plataforma.