Almacenamiento y tratamiento seguro de datos de salud en el marco de una aplicación de telemedicina

Abstract

El trabajo presenta el diseño e implementación de un mecanismo que protege la información clínica manejada por una plataforma chilena de tele-otorrinolaringología alojada en AWS bajo arquitectura serverless. Primero se analizó la infraestructura existente y se detectaron brechas: el cifrado no cubría todos los flujos y la gestión de claves era manual. Para remediarlo, se incorporó un esquema de “cifrado en sobre” que genera claves de datos efímeras y las protege con AWS KMS, automatizando la rotación y aplicando políticas de mínimo privilegio. El módulo se integró a las funciones Lambda y a los almacenes DynamoDB y S3 sin alterar la lógica de negocio. Las pruebas funcionales y de seguridad demostraron que los datos permanecen cifrados desde el origen, no se degrada la experiencia de usuario y se dificulta la exfiltración incluso ante accesos ilícitos. Con ello, la aplicación cumple la Ley 21.663 de Chile y se alinea con los marcos internacionales HIPAA y GDPR, reduciendo significativamente los riesgos legales y reputacionales. This thesis describes the design and implementation of a mechanism that safeguards clinical information handled by a Chilean tele-otolaryngology platform running on AWS in a serverless architecture. An initial assessment revealed gaps: encryption did not cover every data flow, and key management was manual. To address this, an envelope encryption scheme was introduced, generating ephemeral data keys protected by AWS KMS, with automated key rotation and least-privilege policies. The module was integrated into Lambda functions and the DynamoDB and S3 stores without altering business logic. Functional and security tests showed that data remained encrypted from the point of origin, user experience is unaffected, and exfiltration is thwarted even if illicit access occurs. Consequently, the application now complies with Chile’s Law 21.663 and aligns with international frameworks such as HIPAA and GDPR, markedly reducing legal and reputational risk.