Tus datos de salud, blindados.
Cómo TTL protege la información personal de salud que traes a la app — primero en lenguaje claro, con los detalles técnicos abajo.
En lenguaje claro: “PHI cifrada en disco.”
PHI significa Información de Salud Protegida — tus laboratorios, síntomas, medicamentos, cualquier cosa personal que le digas a la app sobre tu salud.
“Cifrada en disco” significa: las columnas de PHI en nuestra base de datos se cifran a nivel de aplicación con cifrado simétrico autenticado (Fernet, AES-128-CBC + HMAC-SHA256) antes de tocar el disco. La llave de cifrado vive en el almacén de variables de entorno cifradas de nuestro proveedor de hosting — un plano de acceso separado de la base de datos. Cualquiera con un snapshot de la base pero sin la llave ve ciphertext.
Traducción: un snapshot filtrado es ilegible. Un snapshot más la llave sí sería legible — por eso la llave se mantiene bajo controles de acceso más estrictos que los datos, y por eso el siguiente hito del roadmap de seguridad es mover la llave a un KMS dedicado (AWS KMS o GCP KMS) para que ningún operador pueda exportarla individualmente.
Seis compromisos que mantenemos.
Cifrada en disco
Las columnas de PHI se cifran a nivel de aplicación (Fernet, AES-128-CBC + HMAC-SHA256) con una llave guardada en el almacén de variables de entorno cifradas de nuestro proveedor de hosting. Los datos viven en PostgreSQL. Ninguno es útil sin el otro; la migración a KMS está en el roadmap.
Cifrada en tránsito
Todo el tráfico entre tu dispositivo y nuestros servidores usa TLS 1.2 o superior. El icono de candado en tu navegador significa que los datos en el cable son ilegibles para cualquiera en medio.
Sin PHI sin procesar en logs
Nuestros logs de aplicación están limpiados de campos identificables de salud. Logueamos lo suficiente para depurar, nunca lo suficiente para reconstruir tu registro. Los crash dumps siguen la misma regla.
Acceso de mínimo privilegio
Los ingenieros no tocan rutinariamente la PHI de producción. El acceso es por rol, auditado y limitado en tiempo. Las lecturas en tablas de PHI se loguean con el actor, la fila y la razón.
Hard-delete con auditoría
Cuando eliminas tu cuenta — o cuando una prueba gratis no convertida expira — la PHI se purga de la base de datos en vivo. Mantenemos un hash con sal del correo (para detección de reintentos de prueba) y una fila de auditoría del evento de eliminación.
Cero venta de datos, jamás
No vendemos, rentamos ni intercambiamos tus datos, y no corremos anuncios contra ellos. Nuestro ingreso es la suscripción que nos pagas. Ese es todo el negocio.
Alineada a HIPAA, no entidad cubierta.
TTL es una plataforma de información, no una clínica, laboratorio o aseguradora — así que por sí solos no somos una entidad cubierta de HIPAA. Aún así operamos contra los safeguards técnicos y organizacionales de HIPAA porque los datos que nos traes se comportan como PHI, sin importar quién esté del otro lado de la línea.
Esa postura significa: cifrado en disco y en tránsito, acceso por rol, logs de auditoría en lecturas y eliminaciones de PHI, proceso de notificación de brecha alineado con la FTC Health Breach Notification Rule (16 CFR Parte 318), contacto de privacidad designado (privacy@ttlongevity.com), BAAs en proceso con nuestros subprocesadores de hosting e IA, y una lista revisada de subprocesadores. Cuando comencemos a hacer handoff a una red de clínicos en el nivel Lane Rx, la entidad clínica que recete será una entidad cubierta, y el handoff correrá a través de un BAA escrito.
Dónde viven realmente tus datos.
Aplicación + base de datos
El backend de TTL (FastAPI) y PostgreSQL administrado corren en Render en datacenters de región US. Los snapshots de base de datos están cifrados a nivel de almacenamiento; las columnas PHI se cifran adicionalmente a nivel de aplicación. El acceso está restringido a un pequeño roster de operaciones.
Autenticación + sesiones
Auth basada en JWT con secretos de firma rotatorios. Los tokens de provedor OAuth (Google / Apple) se guardan cifrados; nunca recibimos tu contraseña del proveedor.
Proveedores de IA
Usamos las APIs comerciales de OpenAI, Anthropic y Google bajo términos enterprise/business que prohíben entrenamiento sobre tus datos. Enviamos solo los campos que el modelo necesita para responder; los identificadores se quitan donde es posible.
Pagos
Stripe maneja todos los datos de tarjeta en archivo. Nunca tocamos números de tarjeta sin procesar; recibimos solo un ID de cliente Stripe y el estado de la suscripción.
Una lista más detallada de cada servicio de tercero al que enviamos datos está en la página de Subprocesadores.
¿Encontraste un problema de seguridad?
Damos la bienvenida a reportes de investigadores independientes. Envía un correo a security@ttlongevity.com con una descripción del problema, pasos de reproducción y cualquier evidencia de soporte. Reconoceremos en dos días hábiles y trabajaremos contigo en un fix y un cronograma de divulgación coordinada.
Ve nuestra política completa de Divulgación Responsable para alcance y lenguaje de safe-harbor.
Construido para que confíes la plataforma con tus laboratorios.
Admisión de prueba gratis. Cifrada por defecto. Hard-delete por demanda.