Aviso sobre el idioma oficial

Este documento se proporciona en inglés como la única versión oficial y legalmente vinculante. Cualquier versión traducida se ofrece únicamente con fines informativos y no tiene efecto legal. En caso de conflicto entre una traducción y la versión en inglés, prevalecerá la versión en inglés.

Ver la versión oficial en inglés

Adenda de Servicios HIPAA

March 20, 2026

Esta Adenda de Servicios HIPAA ("Adenda") se aplica únicamente a los Clientes que hayan ejecutado un Acuerdo de Asociado Comercial ("BAA") con Vilulia. Esta Adenda se incorpora y forma parte de los Términos de Servicio y de cualquier Formulario de Pedido para Servicios elegibles para HIPAA. En caso de conflicto entre esta Adenda y los Términos de Servicio en asuntos relacionados con los Servicios elegibles para HIPAA, esta Adenda prevalece.

Responsabilidad compartida para el cumplimiento de HIPAA: Vilulia se compromete a proporcionar una plataforma segura y elegible para HIPAA y a mantener las salvaguardas técnicas y organizativas requeridas de un Asociado Comercial. Lograr el pleno cumplimiento de HIPAA también requiere que los Clientes cumplan con sus propias obligaciones como Entidades Cubiertas o Asociados Comerciales, incluyendo la configuración de acceso, la capacitación del personal y la gobernanza de PHI. Esta Adenda describe cómo se comparte la responsabilidad entre las partes.

1. Uso Elegible para HIPAA

Los Servicios incluyen configuraciones elegibles para HIPAA diseñadas para respaldar a los Clientes con obligaciones bajo HIPAA. La PHI solo puede cargarse o procesarse en conexión con flujos de trabajo y configuraciones que Vilulia designe como elegibles para HIPAA (por ejemplo, funcionalidades explícitamente etiquetadas como HIPAA Basic o HIPAA Enhanced en el Formulario de Pedido correspondiente). El Cliente es responsable de asegurar que sus flujos de trabajo y configuraciones específicos sean apropiados para sus obligaciones de cumplimiento de HIPAA. Si no está seguro de si un flujo de trabajo particular es elegible para HIPAA, contacte a vilulia.com/contact antes de cargar PHI.

2. Compromisos de Vilulia para Planes Elegibles para HIPAA

Para los Clientes en planes elegibles para HIPAA con un BAA ejecutado, Vilulia:

  • Mantendrá salvaguardas técnicas consistentes con la Regla de Seguridad de HIPAA, incluyendo cifrado en tránsito y en reposo, registro de auditoría y controles de acceso.
  • Limitará el acceso a la PHI al personal que lo requiera para realizar los servicios y que esté sujeto a obligaciones de confidencialidad.
  • Reportará Violaciones de PHI No Asegurada dentro de las 72 horas posteriores al descubrimiento, según lo descrito en el BAA.
  • Impondrá obligaciones equivalentes de protección de datos a los subcontratistas que accedan a PHI.
  • Apoyará las obligaciones del Cliente en materia de acceso, enmienda y contabilidad de divulgaciones según lo descrito en el BAA.
  • No utilizará PHI para entrenar modelos de IA ni para ningún propósito más allá de la prestación de los Servicios.

3. Responsabilidades del Cliente

Lograr el cumplimiento de HIPAA es una responsabilidad compartida. El Cliente es responsable de:

  • Determinar qué PHI se carga en los Servicios y asegurar que se limite a lo necesario para el flujo de trabajo previsto.
  • Configurar el acceso de usuarios, roles, permisos y políticas de autenticación (incluyendo la habilitación de MFA cuando esté disponible).
  • Asegurar que los miembros de su personal reciban la capacitación adecuada en HIPAA y estén sujetos a sanciones por incumplimiento.
  • Mantener la seguridad de los dispositivos, redes y credenciales utilizados para acceder a los Servicios.
  • Revisar y configurar la retención, configuraciones de uso compartido, exportaciones y cualquier integración externa para prevenir la divulgación no autorizada.
  • Notificar a Vilulia de manera oportuna cualquier sospecha de compromiso de credenciales o acceso no autorizado a los Servicios.

4. Resumen de Responsabilidad Compartida

Área Responsabilidad de Vilulia Responsabilidad del Cliente
Seguridad de infraestructura Cifrado, controles de acceso, registro de auditoría, monitoreo Habilitación de MFA, seguridad de credenciales, seguridad de dispositivos
Gobernanza de PHI Procesamiento de PHI solo según lo permitido por el BAA Determinar qué PHI cargar; minimizar el alcance de PHI
Personal Capacitación y vinculación del personal de Vilulia con acceso a PHI Capacitación y sanción del personal propio del Cliente
Respuesta ante violaciones Detección, notificación dentro de 72 horas y mitigación de violaciones Notificación a Vilulia de sospecha de compromiso de credenciales; cooperación en la investigación
Configuración Provisión de configuraciones y controles elegibles para HIPAA Configuración adecuada de acceso, uso compartido e integraciones

5. Niveles de Servicio HIPAA

Si el Cliente adquiere niveles de servicio HIPAA, los niveles incluyen salvaguardas adicionales, configuraciones, registro y compromisos de soporte más allá del plan estándar. Las inclusiones específicas y cualquier exclusión se describen en el Formulario de Pedido correspondiente y la documentación del producto. Contacte a vilulia.com/contact para obtener detalles sobre lo que incluye cada nivel.

6. Incidentes Causados por el Cliente

Vilulia implementa y mantiene las salvaguardas descritas en esta Adenda y el BAA. Sin embargo, Vilulia no es responsable de incidentes de seguridad o fallas de cumplimiento que surjan principalmente de: configuración incorrecta de controles de acceso o permisos por parte del Cliente; compromiso de credenciales controladas por el Cliente; uso compartido no autorizado por parte del personal propio del Cliente; fallas de seguridad en dispositivos o redes controlados por el Cliente; o incumplimiento por parte del Cliente de las directrices de seguridad de Vilulia. Cuando un incidente resulte de una combinación de factores, las partes trabajarán cooperativamente para evaluar la causa y la respuesta.

7. Suspensión; Mitigación de Riesgos

Vilulia puede suspender inmediatamente el acceso relacionado con HIPAA cuando la operación continuada represente un riesgo de seguridad o cumplimiento, incluyendo sospecha de compromiso, uso indebido o actividad anómala. Vilulia notificará al Cliente tan pronto como sea razonablemente posible después de cualquier suspensión y trabajará con el Cliente para restablecer el acceso tras la finalización de los pasos de remediación razonables. Vilulia no suspenderá el acceso HIPAA por razones no relacionadas con la seguridad o el cumplimiento sin proporcionar aviso previo y una oportunidad de subsanación conforme a los Términos de Servicio.

¿Tiene preguntas sobre este documento?

Nuestro equipo legal está disponible para responder cualquier consulta.

Contactar al equipo legal