Seguridad sa Kintaria
Hawak po ng Kintaria ang impormasyon sa kalusugan ng mga taong nasa mahihinang sandali. Sineseryoso po namin iyon. Itinatala po sa pahinang ito kung ano ang nakahanda na ngayon, kung ano ang darating, at kung saan po kami hindi pa nakakarating — isinulat para sa kapamilyang nais malaman kung ano ang ipinagkakatiwala niya sa amin, hindi lang po para sa auditor.
1. Mga kontrol na nasa lugar na ngayon
Row-level security (RLS) sa bawat talahanayan
Bawat row sa database ay nababantayan ng pagsuri ng pagiging miyembro ng pamilya sa loob mismo ng Postgres. Kahit po may bug ang aming application code, tatanggihan pa rin ng database na ibalik ang data ng ibang pamilya.
Audit log sa bawat pagbabago
Bawat insert, update, at delete sa nilalaman ng workspace ay nagsusulat ng row sa audit table — sino, ano, kailan. Nakabase po sa trigger, hindi maaaring lampasan ng application code.
Encryption sa transit at sa imbakan
Lahat po ng koneksiyon ay gumagamit ng TLS 1.2+. Ang imbakan ng database at mga file ay naka-encrypt sa imbakan ng mga underlying provider (Supabase / Postgres / Supabase Storage).
Mga share link na may expiration
Ang mga "Share with provider" link ay gumagamit ng 32-byte na random na token, awtomatikong nag-eexpire (1–90 araw), at maaari pong bawiin agad. Hindi po nakikita ng tatanggap kung sino pa ang nasa workspace ninyo, o anumang data sa labas ng mga seksiyong pinili ninyo.
Magic-link sign-in, walang password
Gumagamit po ng one-time email link ang sign-in. Walang password na maaaring ma-leak, magamit muli, o makawnaw sa phishing. Ang sessions po ay HTTP-only cookies na nakatali sa device.
Mga tala para lamang sa mga tagapag-alaga
Ang mga tala ay maaaring markahan na nakikita lamang ng mga owner + caregiver, nakatago sa parent role at sa mga observer. Ipinapatupad sa server — hindi maaaring magsulat ng tagong tala ang mga hindi caregiver kahit po direktang tawagin ang API.
Pag-iisa ng service key
Ang priyibilehiyado na Supabase service key ay nasa server lamang, hindi ipinapadala sa mga browser. Gumagamit po ng public key ang app para sa karaniwang trapiko at lumilipat lamang sa privileged key para sa mga admin operations (demo seeding, pag-decode ng share links).
Mga security header
Strict-Transport-Security, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy na tinatanggihan ang camera/microphone/lokasyon. Ang subdomain ng app ay naka-configure na huwag i-index.
2. Sino ang nakakakita ng ano
May apat pong tungkulin sa loob ng isang workspace, na bawat isa ay may unti-unting nakikitid na access. Wala po sa kanila ang nakakakita ng mga workspace ng ibang pamilya — iyon po ay garantiya sa database layer, hindi po lamang patakaran.
| Tungkulin | Pagbasa | Pagsulat | Tala para lamang sa caregiver |
|---|---|---|---|
| Owner | Lahat sa workspace | Lahat | Mababasa at maisusulat |
| Caregiver | Lahat sa workspace | Lahat maliban sa pagtanggal ng workspace | Mababasa at maisusulat |
| Magulang (ang inaalagaan) | Lahat maliban sa mga tala ng caregiver lamang | Tala, profile, appointment, gamot, dokumento | Nakatago |
| Observer | Lahat maliban sa mga tala ng caregiver lamang | Wala | Nakatago |
Hindi po nababasa ng mga tauhan ng Kintaria ang nilalaman ng workspace sa karaniwang operasyon. Ang priviledged database role na ginagamit ng engineering team para sa migrations at incident response ay nakalog at limitado; hindi po kami magbabasa nang tahimik ng datos ng inyong pamilya.
3. Saan po nakalagay ang inyong data
Lahat ng nilalaman ng workspace ay nakaimbak sa iisang Supabase project sa rehiyon ng US (database + storage). Walang cross-region replication. Walang CDN edge cache ng mga pahina ng workspace.
Ang pampublikong site (thrive.me) ay naka-host sa network ng Vercel at Cloudflare at naghahain lamang po ng static, hindi personal na nilalaman (landing pages, teksto ng patakaran, marketing copy). Ang lookup ng phone number ng voice line ay tumatakbo sa Fly.io.
4. Listahan ng mga vendor
Bawat panlabas na serbisyong humihipo sa inyong datos, sa malinaw na wika, kasama ang katayuan ng bawat isa hinggil sa Business Associate Agreement (BAA):
| Vendor | Ginagawa | BAA |
|---|---|---|
| Supabase | Database + storage + authentication | Pro plan, may BAA — isinasagawa |
| Vercel | Nag-ho-host ng app + pampublikong site | Kailangang Enterprise plan para sa BAA — hindi pa |
| Anthropic (Claude) | Mga tampok ng AI: visit summaries, lab extraction, document tagging — opt-in lamang | Kailangang Enterprise tier para sa BAA — pinag-uusapan |
| Resend | Transactional email (mga imbitasyon, abiso, summary) | May BAA — isinasagawa |
| Twilio | SMS para sa mga urgent alert (opt-in) | May BAA — isinasagawa |
| Cloudflare | DNS + edge para sa pampublikong thrive.me | Hindi dumadaan dito ang datos ng workspace |
| Plausible | Cookie-free, privacy-respecting na site analytics | Aggregate counts lamang, walang PII |
5. Mga tampok ng AI
Naka-off po sa default ang mga tampok ng AI (visit summaries, document classification, lab extraction mula sa larawan). Kailangan pong tahasang buksan ng owner ng workspace ang mga ito sa Settings → AI Features. Kapag naka-off ang AI, walang nilalaman mula sa workspace ang ipinapadala sa anumang AI service.
Kapag naka-on ang AI: ipinapadala po ang nilalaman sa Anthropic (Claude) sa pamamagitan ng TLS connection; hindi po ginagamit ng Anthropic ang API content para sanayin ang kanilang mga modelo (default policy nila, hindi opt-in); pinapanatili ng Anthropic ang API content hanggang 30 araw para sa trust and safety review, pagkatapos ay binubura; ipinapadala lamang po namin ang minimum na kailangan para sa bawat tampok; bawat pahinang gumagamit ng AI ay may banner na nagpapaalala na nasa preview ang AI at dapat suriin ang resulta.
6. Pagbabahagi sa mga provider
Ang tampok na "share with a provider" ay nilikha upang ang isang caregiver ay makapagbigay sa doktor, emergency room, social worker, o abogado ng read-only na view ng record ng kanilang magulang nang hindi kinakailangang gumawa pa ng account. Ang token ay 32-byte na cryptographically random string — halos imposibleng mahulaan. Pinipili po ninyo kung anong mga seksiyon ang ilalagay. Awtomatikong nag-eexpire ang link. Maaari po ninyo itong bawiin anumang oras. Binibilang po ang bawat access. Hindi po makikita ng tatanggap ang anumang nasa labas ng mga napiling seksiyon — kasama na ang ibang miyembro ng pamilya o ang kasaysayan ng workspace. Hindi ina-index sa mga search engine ang shared page.
Ituring po ang URL na parang one-time password. Huwag pong i-post sa mga pampublikong forum. Para sa mga sensitibong tatanggap, ipadala po sa pamamagitan ng patient portal message o sa telepono sa halip na open SMS.
7. Postura sa HIPAA — tahasang sinasabi
Hindi pa po HIPAA covered entity ang Kintaria. Bago pa po kami sa paglulunsad at wala pa po kaming Business Associate Agreements sa lahat ng vendor na humihipo sa data ng workspace.
Itinayo po ang arkitektura sa mga kontrol na naaayon sa HIPAA (audit logging, encryption, access control, minimum-necessary disclosure, secure development practices). Ang pormal na BAA framework, isang Notice of Privacy Practices, at ang mga operational policies na kinakailangan ng HIPAA (incident response, breach notification, staff training, business associate inventory) ay nasa pre-launch readiness path. Hanggang hindi pa po natatapos ang mga ito at hindi pa nalalagdaan ang aming BAA sa Supabase, Anthropic, Resend, at Twilio, mangyari po lamang na huwag mag-upload ng anumang kailangang protektahan ng kontratang HIPAA ngayon.
Pagdating po namin sa general availability na kumpleto na ang BAA framework, ia-update ang pahinang ito at mag-aalok po kami ng BAA sa mga organisasyong nangangailangan (mga klinika, FQHCs, care coordination companies, atbp.).
Texas Responsible AI Governance Act (TRAIGA, ipinatupad mula Enero 1, 2026). Hinihingi na po ngayon ng Texas sa mga lisensiyadong healthcare practitioner na bigyan ang mga pasyente ng kapansin-pansing nakasulat na pagsisiwalat sa anumang paggamit ng AI sa diagnosis o paggamot. Ang mga tampok ng AI ng Kintaria (visit summaries, lab extraction, document tagging) ay naka-off sa default at nangangailangan ng tahasang per-feature na opt-in mula sa owner ng workspace — dinisenyo upang ang isang klinisyan ng Texas na sumusuri ng mga tala na dala ng isang family caregiver ay makapagsiwalat nang tama ng paglahok ng AI kapag kinailangan.
HHS HIPAA Security Rule update (inaasahang final rule sa huling bahagi ng 2026). Ipapatupad daw po ng iminumungkahing patakaran ang encryption ng ePHI sa transit at sa imbakan (mayroon na po sa Kintaria), MFA para sa mga kritikal at remote system (nag-aalok po kami ng opsiyonal na two-step sign-in ngayon), at mga tahasang requirement para sa mga AI system na humihipo sa data ng pasyente (nakasulat na imbentaryo, tuluy-tuloy na pag-monitor ng vulnerability). Karamihan ng iminumungkahing mga kontrol ay tugma sa kasalukuyang postura namin; ia-update po namin ang seksiyong ito kapag naipasa na ang final rule.
8. Pagpapanatili at pagbura ng data
Pinapanatili po ang data ng workspace habang umiiral ang workspace. Kapag binura ninyo ang isang workspace: lahat ng nilalaman ay hard-deleted mula sa database sa loob ng 7 araw; ang mga backup ng database (na naglalaman ng data sa oras ng pagkuha) ay nagtatagal sa kanilang sariling retention schedule — kadalasang 7 araw para sa point-in-time recovery, pagkatapos ay binubura; ang mga file sa document vault ay agad na binubura sa storage; ang mga row ng audit log na nakatukoy sa binurang pamilya ay binubura sa cascade; ang inyong account (kung wala kayong iba pang workspace) ay hard-deleted sa pagkahingi — mag-email po sa info@kintaria.com.
Ang tampok na "i-export ang inyong data", kung saan maaari po ninyong i-download ang isang kumpletong ZIP ng inyong workspace bago burahin, ay nasa malapit na roadmap. Hanggang doon, mag-email po sa info@kintaria.com at manu-mano naming i-package at ipadala.
9. Pag-uulat ng problema sa seguridad
Kung makakita po kayo ng problema sa seguridad sa Kintaria — paraan upang makita ang data ng ibang pamilya, isang endpoint na walang authentication ngunit dapat sana, isang secret na na-leak sa pampublikong artifact, o anumang mukhang vulnerability — mangyari pong mag-email sa security@thrive.me o tumawag sa (888) 704-0999. Kikilalanin po namin sa loob ng isang business day.
10. Mga pang-operasyong gawi
- Kinakailangan ang two-factor authentication sa bawat account na humihipo sa production infrastructure (Supabase, Vercel, GitHub, Cloudflare, domain registrar).
- Ang mga production secrets (API keys, DB passwords) ay nasa Vercel environment variables at sa Supabase dashboard. Hindi kailanman ipinapasok sa version control. Pribado ang repositoryo.
- Ang mga database migration ay version-controlled, sinusuri bago ipatupad sa production, at inaaplay sa pamamagitan ng migration tooling ng Supabase (walang direktang pag-edit sa production database).
- Sinusubaybayan ang mga vulnerability sa dependency sa pamamagitan ng GitHub Dependabot; sinusuri ang mga security advisory sa loob ng isang linggo.
11. Ano ang susunod
- Kumpletuhin ang pagsasagawa ng BAA sa Supabase, Anthropic, Resend, at Twilio.
- Trabahong paghahanda para sa SOC 2 Type 1 — i-dokumento ang mga patakaran, mangolekta ng ebidensiya, daanan ang control framework. Target: sa loob ng unang taon ng GA.
- Self-service na "i-export ang inyong data" download mula sa workspace settings page.
- Self-service na pagbura ng workspace (kailangan pa po naming i-email ngayon).
- Audit log viewer sa loob ng workspace para makita ng caregiver ang kasaysayan ng pagbabago.
12. Mga tanong
Mag-email po sa info@kintaria.com o tumawag sa (888) 704-0999. Sinasagot po namin ang bawat mensahe; hindi po kami isang venture-backed na startup na may bot sa pintuan.