PatientTracForge is built from the ground up to meet HIPAA's Privacy Rule, Security Rule, and Breach Notification Rule. This page documents our technical and administrative safeguards, sub-processor BAAs, and how to request compliance documentation.
🛡
Business Associate
We sign a BAA with every Covered Entity before any PHI is processed.
🔐
Encryption
All PHI encrypted in transit (TLS 1.3) and at rest (AES-256) via Supabase on AWS us-east-1.
🔑
Access Control
6-role RBAC. TOTP MFA required for admin and provider roles. Row Level Security per org_id.
📋
Audit Logging
Every login, PHI access, and data change logged to saas.auth_audit_log. Retained 6 years.
🔔
Breach Notification
Notification to Covered Entities within 60 days with full incident details and corrective actions.
🤝
Sub-processor BAAs
All PHI sub-processors (Supabase, Anthropic, Resend, Twilio) operate under executed BAAs.
📄
Request a Business Associate Agreement
All Covered Entities and Business Associates must execute a BAA before storing PHI. Our BAA covers all sub-processors, retention obligations, breach notification procedures, and PHI destruction at termination.
Request BAA → legal@patienttrac.comTechnical Safeguards (HIPAA § 164.312)
| Safeguard | Implementation | Status |
|---|
| Access control | 6-role RBAC at API and database level. Row Level Security on all cr.* and saas.* tables. | ✓ |
| Unique user ID | UUID per user. No shared accounts. Session tokens tied to individual user IDs. | ✓ |
| Emergency access | super_admin role retains access for emergencies. All emergency access logged. | ✓ |
| Automatic logoff | Session expiry via Supabase JWT TTL. Re-authentication required after inactivity. | ✓ |
| Encryption in transit | TLS 1.3 on all API calls, database connections, and edge function invocations. | ✓ |
| Encryption at rest | AES-256 on all Supabase PostgreSQL data via AWS RDS encryption. Backups encrypted. | ✓ |
| Audit controls | saas.auth_audit_log captures all auth events, MFA completions, and role changes. | ✓ |
| Integrity controls | Database constraints, foreign keys, and RLS prevent unauthorized modification. | ✓ |
| Transmission security | HTTPS enforced. API keys in Supabase environment only — never in frontend code. | ✓ |
| MFA | Google Authenticator TOTP required for all admin and provider roles. | ✓ |
Administrative Safeguards (HIPAA § 164.308)
✓
Security Officer: Designated HIPAA Security Officer for policy, training, and incident response.
✓
Risk analysis: Annual security risk assessment identifying threats to PHI confidentiality, integrity, and availability.
✓
Workforce training: All employees with PHI access complete HIPAA training at hire and annually. Background checks required.
✓
Access management: Least-privilege access. Reviewed quarterly. Revoked immediately upon termination.
✓
Incident response: Detection → containment → assessment → notification → remediation. Documented procedure.
✓
Contingency plan: Daily automated backups. RTO: 4 hours. RPO: 24 hours.
✓
Sub-processor management: BAAs before PHI access. Annual compliance reviews.
✓
Evaluation: Annual technical and non-technical HIPAA safeguard evaluation. Findings remediated.
Physical Safeguards (HIPAA § 164.310)
✓
AWS (via Supabase): SOC 2 Type II, ISO 27001, HIPAA-eligible. Physical access controls, surveillance, environmental safeguards. US-east-1 (Virginia).
✓
Netlify: CDN hosting — no PHI stored at CDN layer. SOC 2 compliant.
✓
Workstations: Encrypted drives and screen locks required for all remote work.
✓
Media disposal: PHI destroyed per NIST SP 800-88. Certificate of destruction available on request.
AI Features & HIPAA
| AI Feature | PHI transmitted | Anthropic BAA | Status |
|---|
| No-show prediction | Age, appt type, insurance type, visit history (no names) | ✓ Covered | ✓ |
| Smart scheduling | Provider schedule, insurance type (no patient names) | ✓ Covered | ✓ |
| AI intake assistant | Chief complaint, medications, symptoms — minimum necessary | ✓ Covered | ✓ |
| Billing AI | Diagnosis, CPT codes, insurance type — minimum necessary | ✓ Covered | ✓ |
| Wait time tracking | Timestamps only — no clinical PHI transmitted to AI | N/A | ✓ |
Anthropic does not use customer PHI to train models. All Claude API calls processed under our enterprise BAA with Anthropic.
Sub-Processors Handling PHI
| Sub-processor | Role | Location | BAA |
|---|
| Supabase Inc. | PostgreSQL DB, auth, edge functions | AWS us-east-1 | ✓ Executed |
| Anthropic PBC | Claude AI — all 5 AI features | US (API) | ✓ Executed |
| Resend, Inc. | Email — confirmations, intake links | US | ✓ Executed |
| Twilio Inc. | SMS — reminders, wait apology | US | ✓ Executed |
| Netlify, Inc. | App hosting — no PHI at CDN layer | US | N/A |
| Stripe, Inc. | Payments — billing only, no PHI | US | N/A |
Sub-processor list or executed BAA copies: legal@patienttrac.com
Patient Rights & Provider Obligations
✓
Right of access: Export complete patient record at any time from the patient profile page.
✓
Right to amend: Records updated any time. All changes timestamped and attributed to the modifying user.
✓
Right to accounting: auth_audit_log and encounter_workflow provide complete PHI access accounting.
✓
Right to restrict: RBAC allows marking records for restricted staff visibility.
✓
Confidential communications: Patient language and contact preferences stored and honored in all communications.
Compliance Contact
PatientTrac Corp — HIPAA & Compliance
PatientTracForge fue diseñado desde su base para cumplir con la Regla de Privacidad, la Regla de Seguridad y la Regla de Notificación de Incumplimiento de HIPAA. Esta página documenta nuestras salvaguardas técnicas y administrativas, los BAA de subprocesadores y cómo solicitar documentación de cumplimiento.
🛡
Socio Comercial
Firmamos un BAA con cada Entidad Cubierta antes de procesar cualquier ISP.
🔐
Cifrado
Todas las ISP cifradas en tránsito (TLS 1.3) y en reposo (AES-256) mediante Supabase en AWS us-east-1.
🔑
Control de acceso
RBAC de 6 roles. MFA TOTP obligatorio para administrador y proveedor. RLS por org_id.
📋
Registro de auditoría
Cada inicio de sesión, acceso a ISP y cambio registrado en saas.auth_audit_log. Retenido 6 años.
🔔
Notificación de incumplimiento
Notificación a Entidades Cubiertas en 60 días con detalles completos del incidente.
🤝
BAA de subprocesadores
Todos los subprocesadores con ISP (Supabase, Anthropic, Resend, Twilio) operan bajo BAA ejecutados.
📄
Solicitar un Acuerdo de Socio Comercial (BAA)
Todas las Entidades Cubiertas y Socios Comerciales deben ejecutar un BAA antes de almacenar ISP. Nuestro BAA cubre todos los subprocesadores, las obligaciones de retención, los procedimientos de notificación y la destrucción de ISP al finalizar el contrato.
Solicitar BAA → legal@patienttrac.comSalvaguardas técnicas (HIPAA § 164.312)
| Salvaguarda | Implementación | Estado |
|---|
| Control de acceso | RBAC de 6 roles a nivel de API y base de datos. RLS en todas las tablas cr.* y saas.*. | ✓ |
| ID único de usuario | UUID por usuario. Sin cuentas compartidas. Tokens vinculados a IDs individuales. | ✓ |
| Acceso de emergencia | Rol super_admin retiene acceso en emergencias. Todo acceso de emergencia registrado. | ✓ |
| Cierre de sesión automático | Vencimiento de sesión mediante JWT de Supabase. Reautenticación requerida tras inactividad. | ✓ |
| Cifrado en tránsito | TLS 1.3 en todas las llamadas API, conexiones de base de datos e invocaciones de funciones edge. | ✓ |
| Cifrado en reposo | AES-256 en todos los datos PostgreSQL de Supabase mediante cifrado AWS RDS. Copias de seguridad cifradas. | ✓ |
| Controles de auditoría | saas.auth_audit_log captura todos los eventos de autenticación, MFA y cambios de rol. | ✓ |
| Controles de integridad | Restricciones de base de datos, claves foráneas y políticas RLS previenen modificaciones no autorizadas. | ✓ |
| Seguridad de transmisión | HTTPS obligatorio. Claves API solo en variables de entorno Supabase — nunca en el frontend. | ✓ |
| MFA | Google Authenticator TOTP obligatorio para todos los roles de administrador y proveedor. | ✓ |
Salvaguardas administrativas (HIPAA § 164.308)
✓
Oficial de seguridad: Oficial de Seguridad HIPAA designado para políticas, capacitación y respuesta a incidentes.
✓
Análisis de riesgos: Evaluación anual de riesgos de seguridad HIPAA sobre confidencialidad, integridad y disponibilidad de ISP.
✓
Capacitación del personal: Todo el personal con acceso a ISP completa la capacitación HIPAA al ingresar y anualmente. Verificación de antecedentes requerida.
✓
Gestión de accesos: Acceso de mínimo privilegio. Revisión trimestral. Revocación inmediata al término del empleo.
✓
Respuesta a incidentes: Detección → contención → evaluación → notificación → remediación. Procedimiento documentado.
✓
Plan de contingencia: Copias de seguridad automáticas diarias. RTO: 4 horas. RPO: 24 horas.
✓
Gestión de socios comerciales: BAA antes del acceso a ISP. Revisiones anuales de cumplimiento.
✓
Evaluación: Evaluación técnica y no técnica anual de salvaguardas HIPAA. Hallazgos remediados.
Salvaguardas físicas (HIPAA § 164.310)
✓
AWS (mediante Supabase): SOC 2 Tipo II, ISO 27001, elegible para HIPAA. Controles de acceso físico, vigilancia y salvaguardas ambientales. US-east-1 (Virginia).
✓
Netlify: Alojamiento CDN sin ISP almacenada en la capa CDN. Cumple SOC 2.
✓
Estaciones de trabajo: Unidades cifradas y bloqueo de pantalla requeridos para trabajo remoto.
✓
Eliminación de medios: ISP destruida conforme a NIST SP 800-88. Certificado de destrucción disponible bajo solicitud.
Funciones de IA e HIPAA
| Función de IA | ISP transmitida | BAA de Anthropic | Estado |
|---|
| Predicción de inasistencias | Edad, tipo de cita, tipo de seguro, historial (sin nombres) | ✓ Cubierto | ✓ |
| Agendamiento inteligente | Horario del proveedor, tipo de seguro (sin nombres de pacientes) | ✓ Cubierto | ✓ |
| Asistente de ingreso IA | Queja principal, medicamentos, síntomas — mínimo necesario | ✓ Cubierto | ✓ |
| IA de facturación | Diagnóstico, códigos CPT, tipo de seguro — mínimo necesario | ✓ Cubierto | ✓ |
| Tiempo de espera | Solo marcas de tiempo — sin ISP clínica transmitida a IA | N/A | ✓ |
Anthropic no utiliza las ISP enviadas por los clientes para entrenar sus modelos. Todas las llamadas a la API de Claude se procesan bajo nuestro BAA empresarial con Anthropic.
Subprocesadores que manejan ISP
| Subprocesador | Función | Ubicación | BAA |
|---|
| Supabase Inc. | Base de datos PostgreSQL, autenticación, funciones edge | AWS us-east-1 | ✓ Ejecutado |
| Anthropic PBC | API Claude — las 5 funciones de IA | EE. UU. (API) | ✓ Ejecutado |
| Resend, Inc. | Correo — confirmaciones de citas, enlaces de ingreso | EE. UU. | ✓ Ejecutado |
| Twilio Inc. | SMS — recordatorios, mensajes de disculpa por espera | EE. UU. | ✓ Ejecutado |
| Netlify, Inc. | Alojamiento de la app — sin ISP en la capa CDN | EE. UU. | N/A |
| Stripe, Inc. | Pagos — solo facturación, sin ISP | EE. UU. | N/A |
Para solicitar la lista de subprocesadores o copias de los BAA ejecutados: legal@patienttrac.com
Derechos del paciente y obligaciones del proveedor
✓
Derecho de acceso: Exportación completa del expediente del paciente en cualquier momento desde su perfil.
✓
Derecho a enmienda: Expedientes actualizables en cualquier momento. Cambios con marca de tiempo y atribuidos al usuario modificante.
✓
Derecho a contabilización: auth_audit_log y encounter_workflow brindan contabilización completa de los accesos a ISP.
✓
Derecho a restringir: El sistema RBAC permite marcar expedientes para visibilidad restringida del personal.
✓
Comunicaciones confidenciales: Preferencias de idioma y contacto del paciente almacenadas y respetadas en todas las comunicaciones.
Contacto de cumplimiento
PatientTrac Corp — HIPAA y Cumplimiento
PatientTracForge a été conçu de A à Z pour répondre aux exigences de la Règle de Confidentialité, de la Règle de Sécurité et de la Règle de Notification des Violations HIPAA. Cette page documente nos mesures de protection techniques et administratives, les BAA des sous-traitants et la procédure de demande de documentation de conformité.
🛡
Partenaire commercial
Nous signons un BAA avec chaque Entité Couverte avant tout traitement d’ISP.
🔐
Chiffrement
Toutes les ISP chiffrées en transit (TLS 1.3) et au repos (AES-256) via Supabase sur AWS us-east-1.
🔑
Contrôle des accès
RBAC à 6 rôles. MFA TOTP obligatoire pour admin et praticien. Sécurité au niveau des lignes par org_id.
📋
Journal d’audit
Chaque connexion, accès aux ISP et modification consignés dans saas.auth_audit_log. Conservés 6 ans.
🔔
Notification des violations
Notification aux Entités Couvertes dans les 60 jours avec tous les détails de l’incident.
🤝
BAA des sous-traitants
Tous les sous-traitants traitant des ISP (Supabase, Anthropic, Resend, Twilio) opèrent sous BAA exécutés.
📄
Demander un Accord de Partenaire Commercial (BAA)
Toutes les Entités Couvertes et les Partenaires Commerciaux doivent conclure un BAA avant de stocker des ISP. Notre BAA couvre tous les sous-traitants, les obligations de conservation, les procédures de notification des violations et la destruction des ISP à la résiliation.
Demander un BAA → legal@patienttrac.comMesures de protection techniques (HIPAA § 164.312)
| Mesure de protection | Mise en œuvre | Statut |
|---|
| Contrôle des accès | RBAC à 6 rôles au niveau API et base de données. RLS sur toutes les tables cr.* et saas.*. | ✓ |
| Identification unique | UUID par utilisateur. Pas de comptes partagés. Jetons de session liés aux IDs individuels. | ✓ |
| Accès d’urgence | Rôle super_admin conserve l’accès en urgence. Tout accès d’urgence est consigné. | ✓ |
| Déconnexion automatique | Expiration de session via JWT Supabase. Réauthentification requise après inactivité. | ✓ |
| Chiffrement en transit | TLS 1.3 sur tous les appels API, connexions base de données et invocations de fonctions edge. | ✓ |
| Chiffrement au repos | AES-256 sur toutes les données PostgreSQL Supabase via chiffrement AWS RDS. Sauvegardes chiffrées. | ✓ |
| Contrôles d’audit | saas.auth_audit_log capture tous les événements d’authentification, MFA et changements de rôle. | ✓ |
| Contrôles d’intégrité | Contraintes base de données, clés étrangères et RLS empêchent toute modification non autorisée. | ✓ |
| Sécurité des transmissions | HTTPS obligatoire. Clés API uniquement dans les variables d’environnement Supabase — jamais dans le frontend. | ✓ |
| MFA | Google Authenticator TOTP obligatoire pour tous les rôles admin et praticien. | ✓ |
Mesures de protection administratives (HIPAA § 164.308)
✓
Responsable de la sécurité : Responsable de la Sécurité HIPAA désigné pour les politiques, la formation et la réponse aux incidents.
✓
Analyse des risques : Évaluation annuelle des risques de sécurité HIPAA sur la confidentialité, l’intégrité et la disponibilité des ISP.
✓
Formation du personnel : Tout le personnel ayant accès aux ISP suit une formation HIPAA à l’embauche et annuellement. Vérification des antécédents requise.
✓
Gestion des accès : Principe du moindre privilège. Revue trimestrielle. Révocation immédiate au départ.
✓
Réponse aux incidents : Détection → confinement → évaluation → notification → remédiation. Procédure documentée.
✓
Plan de continuité : Sauvegardes automatiques quotidiennes. RTO : 4 heures. RPO : 24 heures.
✓
Gestion des partenaires : BAA avant tout accès aux ISP. Revues annuelles de conformité.
✓
Évaluation : Évaluation technique et non technique annuelle des mesures HIPAA. Constatations rémédiées.
Mesures de protection physiques (HIPAA § 164.310)
✓
AWS (via Supabase) : SOC 2 Type II, ISO 27001, éligible HIPAA. Contrôles d’accès physiques, vidéosurveillance, mesures environnementales. US-east-1 (Virginie).
✓
Netlify : Hébergement CDN sans ISP stockée au niveau CDN. Conforme SOC 2.
✓
Postes de travail : Disques chiffrés et verrouillage des écrans obligatoires en télétravail.
✓
Destruction des supports : ISP détruits conformément à NIST SP 800-88. Certificat de destruction disponible sur demande.
Fonctionnalités IA et HIPAA
| Fonctionnalité IA | ISP transmises | BAA Anthropic | Statut |
|---|
| Prédiction des absences | Âge, type de RDV, assurance, historique (sans noms) | ✓ Couvert | ✓ |
| Planification intelligente | Planning praticien, type assurance (sans noms) | ✓ Couvert | ✓ |
| Assistant d’admission IA | Motif, médicaments, symptômes — strictement nécessaires | ✓ Couvert | ✓ |
| IA de facturation | Diagnostic, codes CPT, assurance — strictement nécessaires | ✓ Couvert | ✓ |
| Temps d’attente | Horodatages uniquement — aucune ISP clinique transmise à l’IA | N/A | ✓ |
Anthropic n’utilise pas les ISP soumises par les clients pour entraîner ses modèles. Tous les appels à l’API Claude sont traités dans le cadre de notre BAA entreprise avec Anthropic.
Sous-traitants traitant des ISP
| Sous-traitant | Rôle | Localisation | BAA |
|---|
| Supabase Inc. | Base de données PostgreSQL, authentification, fonctions edge | AWS us-east-1 | ✓ Exécuté |
| Anthropic PBC | API Claude IA — les 5 fonctionnalités IA | États-Unis (API) | ✓ Exécuté |
| Resend, Inc. | E-mail — confirmations, liens d’admission | États-Unis | ✓ Exécuté |
| Twilio Inc. | SMS — rappels, messages d’excuse | États-Unis | ✓ Exécuté |
| Netlify, Inc. | Hébergement app — sans ISP en couche CDN | États-Unis | N/A |
| Stripe, Inc. | Paiements — facturation uniquement, sans ISP | États-Unis | N/A |
Pour demander la liste des sous-traitants ou des copies des BAA exécutés : legal@patienttrac.com
Droits des patients et obligations des praticiens
✓
Droit d’accès : Export complet du dossier patient à tout moment depuis la page de profil.
✓
Droit de rectification : Dossiers modifiables à tout moment. Toutes les modifications sont horodatées et attribuées.
✓
Droit de comptabilisation : auth_audit_log et encounter_workflow fournissent une comptabilisation complète des accès aux ISP.
✓
Droit de restriction : Le système RBAC permet de marquer les dossiers pour un accès restreint.
✓
Communications confidentielles : Préférences de langue et de contact du patient enregistrées et respectées.
Contact conformité
PatientTrac Corp — HIPAA et Conformité