Cómo SaludTotal cumplió con la NOM-024: la historia detrás de la auditoría ante la DGIS
El camino real que recorrimos para aprobar la auditoría NOM-024-SSA3-2012 ante la DGIS: políticas de seguridad documentadas, pruebas de restauración de respaldos y el rigor que respalda tu expediente clínico electrónico.
Cumplimiento NOM-004
Revisa si tu expediente clínico está listo para operar sin riesgos
Agenda una demo de SaludTotal y ve cómo centralizar expedientes, notas clínicas, recetas y documentos obligatorios en un solo sistema.
Cómo SaludTotal cumplió con la NOM-024: la historia detrás de la auditoría ante la DGIS
Hay cosas que un médico no ve cuando abre su expediente clínico por la mañana: no ve los respaldos que corrieron de madrugada, ni las políticas de acceso que deciden quién puede tocar la información de un paciente, ni las pruebas que confirman que, si algo falla, los datos se recuperan íntegros. No las ve, y está bien que así sea. Pero alguien tiene que responder por ellas.
Durante los últimos meses, en SaludTotal nos sometimos a la evaluación de la NOM-024-SSA3-2012 —la norma oficial mexicana que rige los sistemas de información para el expediente clínico digital— ante la Dirección General de Información en Salud (DGIS) de la Secretaría de Salud. Y la aprobamos: SaludTotal cumple con la NOM-024 para consulta externa. Esta es la historia de qué implicó llegar hasta ahí, y por qué debería importarte aunque nunca veas esos respaldos de madrugada.
Qué es la NOM-024 y por qué la buscamos
La NOM-024 define cómo debe comportarse un sistema que guarda expedientes clínicos electrónicos: cómo se estructura la información, cómo se protege, quién puede acceder a ella y cómo se garantiza que no se pierda ni se altere. No es una norma decorativa. Es la vara con la que la autoridad mide si un software es digno de custodiar la información de salud de un paciente.
Pudimos habernos quedado cómodos. En su lugar, decidimos ponernos frente a la autoridad y demostrar —con evidencia, no con promesas— que hacemos las cosas bien. Porque a la hora de elegir dónde vive el expediente de tus pacientes, la confianza no debería ser un acto de fe.
Lo que de verdad significó cumplir
Cumplir con la NOM-024 no es marcar una casilla. Es documentar cada proceso, definir cada control y luego probar que funciona. Estos son algunos de los pilares que tuvimos que poner por escrito y sostener frente al evaluador:
1. Políticas de seguridad documentadas
Redactamos y formalizamos un cuerpo completo de políticas al estilo de los estándares internacionales de seguridad de la información: control de acceso, gestión de contraseñas, áreas seguras, acuerdos de confidencialidad, gestión de incidentes. No son documentos que escribimos para la foto: son las reglas bajo las que opera la empresa todos los días, con versiones, responsables y firmas.
2. Quién puede ver qué (y que quede registro)
En SaludTotal el acceso a la información clínica está segmentado por perfiles —médico, enfermería, recepción, administración— bajo el principio de mínimo privilegio: cada quien ve solo lo que su función requiere. Y cada acción sensible queda asentada en una bitácora de auditoría. No es que confiemos menos en las personas; es que el expediente de un paciente merece que quede registro de quién lo tocó y cuándo.
3. Cifrado de la información
La información viaja y se guarda cifrada, con estándares actualizados de la industria, tanto cuando se transmite como cuando reposa en nuestros servidores. Para un expediente clínico, el cifrado no es un lujo: es la condición mínima para que la información sea de tu paciente y de nadie más.
4. Que los respaldos de verdad sirvan
Muchos sistemas dicen “hacemos respaldos diarios”. Pocos comprueban que esos respaldos se puedan restaurar. Nosotros lo probamos: tomamos un respaldo real de producción y lo restauramos, cronometrado y verificado, en un entorno aislado. Se restauró completo y consistente en 12 minutos, muy por debajo de nuestro objetivo de recuperación de una hora, y validamos que cada registro cuadrara. Un respaldo que no se ha probado no es un respaldo: es una esperanza. El nuestro está probado.
Una decisión que dice mucho de cómo pensamos
En el camino tomamos una decisión de la que estamos orgullosos: el mismo sistema, para todos. No construimos una versión “premium certificada” apartada del resto. Los clientes que operan bajo el alcance certificado y los que no, corren el mismo código y reciben las mismas mejoras. El rigor de la certificación levanta el piso para todos, no para unos cuantos.
Qué gana el médico con todo esto
- Tranquilidad legal: tu expediente clínico se apega a la norma oficial mexicana que exige la autoridad.
- Datos que no se pierden: respaldos probados, no solo prometidos.
- Privacidad real: acceso controlado por perfil y registro de cada acción.
- Un proveedor que se somete al escrutinio: si le abrimos la puerta a la autoridad, imagina el estándar con el que cuidamos tu información todos los días.
Lo que viene
Aprobar la auditoría es un hito, no una meta final. El certificado oficial está en emisión y, cuando aparezca publicado en el listado de la DGIS, te lo compartiremos. Además, hay cambios que llegarán al sistema como parte de este proceso —empezando por la captura del CURP de tus pacientes con validaciones más estrictas— y te vamos a explicar cada uno con tiempo, para que llegues preparado y entiendas el porqué.
Mientras tanto, quédate con esto: detrás de la pantalla que abres cada mañana hay un equipo que decidió que cuidar la información de tus pacientes se demuestra, no se presume.
¿Quieres un expediente clínico que cumple con la NOM-024? Conoce SaludTotal en saludtotal.mx.
Recursos para avanzar
Demo SaludTotal
Revisa si tu expediente clínico está listo para operar sin riesgos
Agenda una demo de SaludTotal y ve cómo centralizar expedientes, notas clínicas, recetas y documentos obligatorios en un solo sistema.
Comenzar ahora