HIPAA

HIPAA (Health Insurance Portability and Accountability Act) es la ley federal de Estados Unidos que regula la información médica protegida (PHI, Protected Health Information). Aplica a entidades de salud y a sus business associates: empresas que procesan PHI por cuenta de una entidad cubierta. Ministrium no es una entidad de salud, pero al manejar información de salud de menores en el Check-in de Niños y opcionalmente en fichas pastorales, opera bajo el marco de HIPAA cuando una iglesia en EE.UU. lo requiere.

Cuándo aplica HIPAA a una iglesia

HIPAA no aplica automáticamente a las iglesias. Aplica cuando:

• La iglesia opera un ministerio de salud (clínica gratuita, consejería médica) y queda clasificada como entidad cubierta.
• La iglesia tiene un acuerdo con una entidad cubierta y procesa PHI por su cuenta.
• La iglesia decide voluntariamente operar bajo el estándar HIPAA por buenas prácticas, especialmente si maneja información de salud de menores.

Qué hace Ministrium

Business Associate Agreement (BAA)

Cuando una iglesia en EE.UU. necesita operar bajo HIPAA, firmamos un BAA (Business Associate Agreement) que documenta:

• Qué PHI procesará Ministrium por cuenta de la iglesia.
• Qué medidas de seguridad implementamos (técnicas, administrativas y físicas).
• Cómo notificamos brechas en el plazo legal de 60 días.
• Cómo devolvemos o destruimos PHI al terminar el contrato.

Para solicitar un BAA: escriba a legal@ministrium.com indicando el plan que tiene contratado y el caso de uso. Tenemos plantilla estándar revisada por consejeros legales en EE.UU.

BAAs con subcontratistas

Ministrium opera con subcontratistas para infraestructura (Replit, Neon, Stripe, SendGrid). Tenemos BAAs firmados con todos los que pueden tocar PHI:

Salvaguardas técnicas

• Cifrado en tránsito: TLS 1.2+ obligatorio. Ver Cifrado.
• Cifrado en reposo: AES-256 en base de datos y almacén de objetos.
• Control de acceso: RBAC con MFA obligatorio para los roles que pueden ver PHI.
• Audit logging: cada acceso a un campo marcado como PHI deja un registro inmutable. Ver Auditoría y logs.
• Aislamiento: Row-Level Security en Postgres aísla la PHI de cada iglesia.

Salvaguardas administrativas

• Política de seguridad de la información formal, revisada anualmente.
• Capacitación obligatoria de todo el equipo de Ministrium en HIPAA y manejo de PHI.
• Acuerdos de confidencialidad firmados por todo el personal con acceso técnico.
• Revisión trimestral de accesos al sistema.
• Procedimiento documentado de respuesta a incidentes con SLA de notificación.

Salvaguardas físicas

Ministrium opera infraestructura cloud sin servidores propios. Las salvaguardas físicas las cubren los proveedores certificados (Replit, Neon, Cloudflare) y se documentan en sus respectivos reportes SOC 2 y atestaciones HIPAA.

Notificación de brechas

Si Ministrium detecta una brecha que potencialmente exponga PHI:

1. Contención inmediata dentro de las primeras horas.
2. Investigación forense con preservación de evidencia.
3. Notificación a la iglesia afectada dentro de las 72 horas posteriores a la confirmación.
4. Notificación al individuo afectado y a HHS según los plazos de HIPAA, coordinada con la iglesia.

Datos que Ministrium clasifica como PHI

Por defecto, los siguientes campos se tratan como PHI cuando una iglesia opera bajo BAA:

• Información de salud en la ficha del menor (alergias, medicamentos, condiciones).
• Información de salud en notas pastorales si el pastor la registra.
• Cualquier dato adjunto (archivo) marcado como sensible de salud.

Próximos pasos

• COPPA — para datos de menores.
• DPA — para fuera de EE.UU.
• Auditoría y logs — el log inmutable que sustenta el cumplimiento.
• Solicitud de BAA — escriba a legal@ministrium.com.