Plataforma de Tickets para
Clínicas de Salud Mental
Sistema de gestión de consultas con trazabilidad normativa
El problema actual de las clínicas pequeñas
- Las consultas llegan por email, teléfono, en persona, WhatsApp...
- No hay trazabilidad: cada solicitud queda en un sitio distinto
- Dos personas pueden gestionar el mismo caso sin saberlo
- No se puede saber correctamente el estado de una solicitud
- Existe riesgo legal si se tratan datos clínicos sin una base clara de RGPD
La solución: una plataforma web con tickets
Número único
Cada consulta se convierte en un ticket con formato INC-YYYYMMDD-XXXX
Acceso por token
El paciente accede mediante un enlace seguro, sin crear cuenta y sin recordar contraseña
Dashboard médico
El doctor gestiona todos los tickets desde un panel unificado, claro y trazable
Registro de acciones
Queda registrado quién hizo qué, cuándo y sobre qué ticket
Auditoría
La trazabilidad es completa y exportable para revisar evidencias
Stack tecnológico y progresión académica
Pasos del flujo
El paciente rellena el formulario público con nombre, email, asunto, descripción, aceptación RGPD y CAPTCHA
El sistema crea un ticket INC-YYYYMMDD-XXXX, lo deja en estado abierto y envía el enlace de confirmación
El paciente entra desde el enlace. El token se valida sin pedir cuenta ni contraseña
Login interno con usuario, contraseña y segundo factor OTP por email de 6 dígitos
El doctor ve el detalle del ticket, responde al paciente y puede cambiar el estado
El doctor cierra el ticket, el paciente recibe notificación y todo queda registrado en auditoría
Controles de seguridad implementados y verificados
Auth
- bcrypt para passwords
- Sesiones firmadas
- MFA OTP por email: 10 minutos, 5 intentos
Tokens
- SHA-256 para lookup en base de datos
- AES-256-GCM para cleartext
- Token aleatorio
- Caducidad 72h con sliding window
Datos
- Cifrado AES-256-GCM de campos sensibles
- Emails sin descripción clínica
- Rate limit en login, OTP y formulario
- Hash chain en tabla de auditoría
Marcos normativos de referencia
| Marco | Aplica | Justificación |
|---|---|---|
| RGPD | OK | Privacidad y seguridad del tratamiento. |
| LOPDGDD | OK | Marco español de protección de datos. |
| Ley 41/2002 | OK | Conservación mínima de documentación clínica. |
| ENS | OK | Referencia técnica de seguridad. |
| CCN-STIC 221/817 | OK | Criptografía e incidentes. |
| OWASP | OK | Seguridad web aplicativa. |
| NIST SSDF | OK | Desarrollo seguro de software. |
| ISO 27799 | OK | Seguridad de la información sanitaria. |
| LGS | OK | Confidencialidad sanitaria. |
Cuatro elementos no vistos en clase
Acceso sin cuenta, SHA-256 + AES-256-GCM, caducidad, revocación y sliding window de 72h
Doble factor para doctores, código de 6 dígitos, 10 minutos de validez y sin app externa
Marcos normativos, controles trazados, evidencias y auditoría revisable
Estrategias AEPD, emails sin datos clínicos y privacidad por defecto
Conclusiones y aprendizaje personal
Lo que aprendí
- Lo más difícil fue priorizar y decidir qué quedaba fuera
- Aprender a justificar cada decisión técnica fue lo más enriquecedor
- Pensar en compliance as code cambia la forma de diseñar software
- La seguridad no es una capa añadida: afecta a todas las fases del diseño
- El RGPD no es solo burocracia: es un marco que guía decisiones técnicas
Mejora futura
- Integración con KMS para gestión centralizada de claves
- Segundo método MFA basado en TOTP por app
- Backups automatizados
- Rotación automática de claves de cifrado
- Despliegue en Kubernetes para alta disponibilidad
Gracias por su atención
Preguntas del tribunal
David Gallardo Suárez | TFG DAM 2025-2026 | Digitech FP Málaga