Legal

Políticas de Seguridad del Correo

Reglas y compromisos que rigen el uso del correo electrónico como canal de comunicación entre MediWork y sus clientes, pacientes y colaboradores.

Política de Seguridad del Correo Electrónico

MediWork utiliza el correo electrónico como canal oficial para la entrega de confirmaciones de cita, resultados de estudios y comunicaciones comerciales. Esta política describe cómo protegemos la información que circula por este medio y qué puedes esperar al recibir un correo de nuestra parte.

1. Alcance de la política

Esta política aplica a todos los correos electrónicos enviados por MediWork a través de su sistema automatizado de comunicaciones, que incluye:

Correos de contacto web: notificaciones internas al equipo de MediWork cuando un usuario envía el formulario de contacto del sitio web.
Correos de confirmación al usuario: mensajes automáticos enviados al cliente o paciente confirmando la recepción de su solicitud.
Comunicaciones comerciales: información sobre servicios, actualizaciones o novedades enviadas con consentimiento previo.
Comunicaciones operativas: agendamiento de citas, entrega de resultados y dictámenes en formato digital.

Esta política aplica tanto al personal interno de MediWork como a todos los destinatarios externos que interactúan con nuestros sistemas de correo.

2. Tipos de correo electrónico que enviamos

Nuestro sistema de comunicación por correo genera dos categorías principales de mensajes automáticos:

Tipo	Destinatario	Asunto típico	Datos incluidos
Notificación interna	Equipo MediWork	[CONTACTO-WEB] Nuevo contacto de…	Nombre, teléfono, correo, empresa, especialidad, mensaje
Confirmación al usuario	Cliente / Paciente	¡Recibimos tu mensaje, [nombre]!	Nombre, especialidad solicitada, resumen del mensaje, correo de respuesta
Resultados clínicos	Empresa contratante / Paciente	Resultados de estudio — [fecha]	PDF adjunto cifrado; datos mínimos en cuerpo del correo
Recordatorio de cita	Paciente	Recordatorio de tu cita en MediWork	Fecha, hora, instrucciones previas al estudio

Remitente oficial: Todos los correos de MediWork provienen del dominio @mediworkzac.com o desde la dirección mediworkzac@gmail.com. Desconfía de cualquier correo que afirme ser de MediWork desde un dominio diferente.

3. Datos personales transmitidos por correo

Aplicamos el principio de minimización de datos: solo incluimos en el cuerpo del correo la información estrictamente necesaria para el propósito de la comunicación.

Los correos de confirmación al usuario contienen únicamente: nombre, tipo de consulta solicitada y un resumen no sensible del mensaje enviado.
Los resultados clínicos se adjuntan siempre como archivos PDF; nunca se incluyen datos de salud en texto plano en el cuerpo del mensaje.
Números de expediente, CURP u otros identificadores sensibles no se transmiten por correo ordinario.
Las notificaciones internas al equipo de MediWork incluyen los datos del formulario de contacto para dar seguimiento comercial; estos datos se almacenan en sistemas internos con acceso restringido.

MediWork nunca solicita contraseñas, datos bancarios ni información de salud sensible a través del correo electrónico. Si recibes un correo con esta solicitud, repórtalo de inmediato a mediworkzac@gmail.com.

4. Consentimiento para recibir correos

El envío de correos por parte de MediWork se realiza bajo alguna de las siguientes bases de legitimación:

Ejecución de un contrato o solicitud: los correos de confirmación y operativos se envían como respuesta directa a una acción iniciada por el usuario (formulario de contacto, contratación de servicio). No requieren consentimiento adicional.
Consentimiento expreso: las comunicaciones comerciales o de marketing solo se envían si el usuario ha marcado expresamente la casilla de suscripción o lo ha solicitado.
Interés legítimo: el envío de notificaciones internas al personal de MediWork se realiza en el marco de las actividades operativas de la empresa.

Puedes cancelar la suscripción a comunicaciones comerciales en cualquier momento mediante el enlace "Cancelar suscripción" incluido en cada correo, o escribiéndonos a mediworkzac@gmail.com con el asunto "Baja correo".

5. Medidas técnicas de seguridad

Nuestro sistema de envío de correos (implementado con Spring Boot + JavaMailSender sobre SMTP con autenticación) aplica las siguientes salvaguardas:

Medida	Descripción
TLS en tránsito	Toda comunicación entre nuestro servidor y el servidor SMTP se realiza sobre TLS 1.2 o superior, cifrando el correo durante el tránsito.
Autenticación SMTP	El servidor de correo requiere credenciales de autenticación para el envío. Las credenciales no se almacenan en el código fuente; se inyectan mediante variables de entorno configuradas en el servidor.
Codificación UTF-8	Todos los mensajes se generan en UTF-8 para garantizar la correcta representación de caracteres especiales y evitar inyecciones de encabezado.
Plantillas renderizadas	El contenido HTML de los correos se genera mediante Thymeleaf con escape automático de variables, previniendo inyecciones de código (XSS) en el cuerpo del mensaje.
Soporte MIME multipart	Los correos con adjuntos utilizan `MimeMessageHelper` con `multipart=true`, permitiendo separar el cuerpo HTML de los archivos adjuntos de forma segura.
Dirección destino configurable	La dirección de destino de las notificaciones internas (`app.email.destino`) se define en las propiedades de aplicación del servidor, no en el código, facilitando cambios sin redeploy.

6. Responsabilidades

MediWork se compromete a:

Enviar correos únicamente desde cuentas y servidores autorizados.
No incluir archivos ejecutables (.exe, .bat, .js) como adjuntos en ninguna comunicación.
Mantener actualizadas las dependencias del sistema de correo para mitigar vulnerabilidades conocidas.
Revisar periódicamente los logs de envío para detectar actividad anómala o intentos de uso no autorizado.
Notificar a los afectados en caso de que se detecte una brecha de seguridad que comprometa correos enviados o recibidos.

El destinatario (cliente / paciente) es responsable de:

Mantener su dirección de correo electrónico actualizada y con medidas de seguridad adecuadas (contraseña robusta, autenticación en dos pasos).
No reenviar correos con información médica a terceros no autorizados.
Reportar a MediWork si recibe correos sospechosos que aleguen ser de nuestra parte.
No responder a correos que soliciten datos sensibles, incluso si aparentan provenir de MediWork.

7. Prevención de phishing y suplantación de identidad

Para que puedas identificar fácilmente un correo legítimo de MediWork, ten en cuenta lo siguiente:

Un correo de MediWork SÍ hace esto	Un correo de MediWork NUNCA hace esto
Proviene de mediworkzac@gmail.com o @mediworkzac.com	Solicita tu contraseña o PIN
Incluye tu nombre en el saludo	Pide datos bancarios o de tarjeta de crédito
Enlaza solo a mediworkzac.com o dominios conocidos	Adjunta archivos ejecutables (.exe, .zip sin aviso previo)
Ofrece enlace de cancelación de suscripción	Amenaza con consecuencias graves si no respondes de inmediato
Responde en horario laboral (L–V 9–18h, S 9–13h)	Solicita información de salud por respuesta directa al correo

Si sospechas que recibiste un correo fraudulento en nombre de MediWork, no hagas clic en ningún enlace ni descargues adjuntos. Repórtalo inmediatamente a mediworkzac@gmail.com con el asunto "Reporte phishing" y, si es posible, reenvía el correo sospechoso como adjunto.

8. Retención y eliminación de correos

Los correos enviados por nuestro sistema se conservan conforme a los siguientes criterios:

Correos operativos y de contacto: se conservan por un período de 2 años en el buzón corporativo, como respaldo de las comunicaciones con clientes.
Correos con resultados clínicos: el respaldo de los estudios se gestiona en el sistema de expedientes clínicos; los correos en sí pueden eliminarse del buzón una vez confirmada la recepción.
Correos de marketing: se conservan registros de envío y consentimiento por el tiempo que dure la relación comercial más 3 años adicionales.

Transcurridos los plazos indicados, los correos son eliminados de forma segura de los servidores de correo. La información clínica relacionada se conserva conforme a la NOM-004-SSA3-2012 (mínimo 5 años para expedientes de adultos).

9. Gestión de incidentes de seguridad

En caso de detectar o sospechar un incidente de seguridad relacionado con el sistema de correo (acceso no autorizado, envío masivo no solicitado, filtración de datos), MediWork seguirá el siguiente protocolo:

Detección: identificación del incidente a través de monitoreo de logs del servidor SMTP y alertas del proveedor de correo.
Contención: suspensión inmediata del servicio de correo afectado y revocación de credenciales comprometidas.
Evaluación: determinación del alcance, los datos potencialmente expuestos y las personas afectadas.
Notificación: comunicación a los afectados en un plazo máximo de 72 horas desde la confirmación del incidente, conforme a lo establecido por el INAI.
Remediación: corrección de la vulnerabilidad, actualización de credenciales y revisión de las medidas de seguridad.
Documentación: registro del incidente, las medidas adoptadas y las lecciones aprendidas para prevenir recurrencia.

MediWork notificará al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) cuando un incidente de seguridad comprometa datos personales de terceros, conforme al artículo 20 de la LFPDPPP.

10. Contacto de seguridad

Para reportar correos sospechosos, incidentes de seguridad o ejercer tus derechos relacionados con comunicaciones electrónicas, contáctanos:

Correo de seguridad: mediworkzac@gmail.com (asunto: "Seguridad" o "Reporte phishing")
Teléfono: +52 492 129 7099 / +52 492 307 6796
Domicilio: C. Lava 24, Cañada de la Bufa, 98619 Guadalupe, Zac.
Horario de atención: Lunes a Viernes de 9:00 a 18:00 hrs · Sábados de 9:00 a 13:00 hrs

Las autoridades en materia de protección de datos y seguridad de la información en México son:

INAI: www.inai.org.mx
CERT-MX / UNAM-CERT: www.unam-cert.unam.mx

¿Recibiste un correo sospechoso?

Repórtalo de inmediato. Tu seguridad y la de tus datos es nuestra prioridad.

Reportar incidente