← Mycelium

Paquete HIPAA

Última actualización: 2026-05-04

Esta página documenta la postura HIPAA de Mycelium para compradores en salud. Es un paquete completo sobre lo que está shipped hoy, lo que carga un cronograma de attestation, y lo que aún no está certificado. Envíalo a tus equipos de privacidad y compliance para revisión.

1. Dónde estamos

Mycelium no maneja información protegida de salud (PHI) por defecto. El paquete a continuación documenta las salvaguardas técnicas, los términos del BAA, y la postura de evaluación de riesgo para clientes en salud que necesitan memoria con awareness de PHI. La certificación HIPAA completa será añadida después de que la base SOC 2 Type II aterrice; las salvaguardas técnicas descritas aquí ya están en producción.

2. Salvaguardas técnicas

Cada salvaguarda mapea a la Security Rule de HIPAA, 45 CFR §164.312:

  • Control de acceso: JWT con alcance por tenant, control de acceso basado en roles (RBAC) en lectura, escritura y síntesis, registro de auditoría completo en cada evento.
  • Controles de auditoría: cada lectura y cada escritura carga timestamp, actor, tenant y origen. Los exports de auditoría son JSONL gzipped firmados con una llave del tenant.
  • Integridad: vault en texto plano versionado en Git. Tamper-evident a través de la cadena de commits SHA-256. Cada entrada de memoria es recuperable a cualquier commit anterior.
  • Seguridad de transmisión: TLS 1.3 en tránsito. Validación HMAC en cada receptor de webhook entrante.
  • Cifrado en reposo: AES-256 en la capa de almacenamiento. Las llaves de cifrado por tenant están en el roadmap y disponibles hoy en el tier Mycelium Enterprise.
  • Controles de dispositivos y medios: la infraestructura de Vercel carga las attestations de SOC 2 e ISO 27001 desde el proveedor upstream. Confiamos en esos controles para el manejo de medios y dispositivos y los documentamos en nuestra revisión de seguridad.

3. Disponibilidad de la plantilla de BAA

Una plantilla con redlines del Business Associate Agreement (BAA) está disponible bajo NDA a solicitud. Envía a contact@myceliumai.co. Mycelium firma BAAs una vez que la carta de compromiso está firmada y la configuración de tenant con awareness de HIPAA del cliente está aprovisionada.

4. Postura de evaluación de riesgo

Una matriz de evaluación de riesgo HIPAA se mantiene internamente y se comparte bajo NDA. La matriz cubre los 18 identificadores HIPAA, las salvaguardas técnicas de arriba, y los cinco pilares arquitectónicos del Reliability Manifesto: aislamiento de tenant, completitud de auditoría, integridad de transmisión, disciplina de reintento, y recuperación reproducible.

5. Lo que aún no está certificado

Nombramos lo que no está hecho:

  • Reporte SOC 2 Type II (objetivo Q4 2026)
  • Attestation HIPAA independiente
  • Autorización FedRAMP para deployments de HHS

6. Configuración de memoria PHI-safe

Los clientes que necesitan memoria con awareness de PHI obtienen un tenant configurado con tagging de PHI en cada entrada de memoria tipada, retención por defecto de auditoría según BAA (seis años por HHS), y un vault root separado sin paths de lectura cross-tenant. La configuración se shippea por cliente; no es un flag de runtime, y no es el default del motor multi-tenant.

Mycelium · fundado en 2026