Por qué este checklist importa

La NOM-024-SSA3-2012 establece los requisitos técnicos que debe cumplir cualquier sistema de información de registro electrónico para la salud en México: interoperabilidad mediante estándares reconocidos (HL7, CDA, IHE), uso de catálogos obligatorios (como CIE-10 para diagnósticos), cifrado de datos, trazabilidad de cambios, control de acceso por rol y respaldos.[1] Junto con la NOM-004-SSA3-2012 (que define qué debe contener el expediente clínico), forman el marco de referencia para evaluar si un software de expediente clínico electrónico es adecuado para un consultorio, clínica u hospital.[2]

En la práctica, una verificación de la Secretaría de Salud o de COFEPRIS puede revisar no solo que estés usando un sistema electrónico, sino que ese sistema cumpla con los requisitos funcionales de la NOM-024. Esta guía es un checklist técnico para que puedas revisarlo antes de que lo haga una autoridad.

Importante

Este checklist se basa en la lectura pública de la NOM-024 y en prácticas comunes del sector. No sustituye una auditoría profesional ni un dictamen legal. Si tienes dudas sobre un punto específico, consulta con un asesor sanitario.

1. Identificación y autenticación de usuarios

La NOM-024 exige que cada usuario del sistema tenga credenciales únicas e intransferibles. No es aceptable que todo el consultorio comparta un mismo usuario genérico, ni que se use un PIN común de escritorio para desbloquear el sistema.

Cómo lo verificas

  • ¿Cada médico, enfermero y asistente administrativo tiene su propio usuario?
  • ¿El sistema obliga a cambiar la contraseña inicial?
  • ¿Las contraseñas tienen una política mínima (longitud, complejidad)?
  • ¿El sistema cierra sesión automáticamente tras un tiempo de inactividad?

2. Control de acceso por rol

No todos los usuarios deben poder ver toda la información. Un recepcionista no tiene por qué acceder a notas médicas; un médico especialista probablemente no necesita ver el detalle de facturación. La NOM-024 exige que el acceso a la información sea proporcional al rol de cada usuario.

Cómo lo verificas

  • ¿El sistema tiene roles configurables (médico titular, médico residente, enfermería, recepción, administración)?
  • ¿Puedes definir qué secciones del expediente ve cada rol?
  • ¿Puedes auditar qué permisos tiene cada usuario en un momento dado?

3. Bitácora de auditoría (trazabilidad)

El sistema debe registrar automáticamente cada acceso, cada modificación y cada impresión del expediente, con fecha, hora, usuario e identificación del paciente. Este registro es lo que permite, en caso de conflicto legal, demostrar quién vio qué información y cuándo.

Cómo lo verificas

  • ¿Puedes ver un historial de accesos a un expediente específico?
  • ¿Las modificaciones de notas quedan registradas con versión anterior y nueva?
  • ¿El registro de auditoría es inmutable (nadie, ni siquiera un administrador, puede borrarlo)?
  • ¿Puedes exportar la bitácora para una inspección?

4. Cifrado de datos en tránsito y en reposo

La información clínica es considerada sensible y debe estar cifrada tanto cuando viaja por la red (en tránsito) como cuando está guardada en los servidores (en reposo). En términos prácticos: HTTPS obligatorio para toda comunicación, y cifrado de base de datos en los servidores.

Cómo lo verificas

  • ¿La URL del sistema empieza con https://?
  • ¿El proveedor documenta el uso de TLS 1.2 o superior?
  • ¿Hay información sobre cifrado de la base de datos (por ejemplo, AES-256)?
  • ¿Los respaldos están igualmente cifrados?

5. Respaldos automáticos y recuperación ante desastres

La NOM-024 exige que la información del expediente clínico electrónico esté protegida contra pérdidas. En términos operativos, esto se traduce en respaldos automáticos con una frecuencia razonable y un procedimiento documentado para recuperar la información si algo falla.

Cómo lo verificas

  • ¿El sistema realiza respaldos automáticos al menos diarios?
  • ¿Los respaldos se guardan en una ubicación distinta al servidor principal?
  • ¿El proveedor tiene un plan documentado de recuperación ante desastres?
  • ¿Puedes solicitar una restauración a una fecha específica en caso de error humano?

6. Interoperabilidad y estándares

Este es uno de los requisitos más sutiles pero más importantes. El sistema debe poder intercambiar información clínica con otros sistemas usando estándares reconocidos. En la práctica, esto significa soporte para HL7 (intercambio de mensajes clínicos) y codificaciones como CIE-10 o CIE-11 para diagnósticos.

Cómo lo verificas

  • ¿Puedes seleccionar diagnósticos con codificación CIE-10 o CIE-11?
  • ¿El sistema tiene alguna API documentada para exportar datos?
  • ¿El proveedor menciona HL7 o FHIR en su documentación técnica?
  • ¿Puedes exportar un expediente en formato estructurado (no solo PDF)?

7. Campos obligatorios del expediente clínico (NOM-004)

Aunque la NOM-004-SSA3-2012 es una norma separada, su cumplimiento es indispensable porque define qué información debe contener cualquier expediente clínico, electrónico o en papel.[2] Si tu sistema no incluye todos los campos obligatorios, no cumple con la NOM-024 por extensión.

Campos mínimos obligatorios

  • Ficha de identificación del paciente
  • Antecedentes heredofamiliares
  • Antecedentes personales patológicos y no patológicos
  • Padecimiento actual
  • Exploración física
  • Diagnóstico o problemas clínicos
  • Indicaciones terapéuticas
  • Notas de evolución
  • Resultados de estudios de laboratorio y gabinete
  • Consentimiento informado
  • Firma electrónica o identificación del médico responsable

8. Consentimiento y derechos del paciente

El paciente tiene derecho a solicitar una copia de su expediente en cualquier momento. El sistema debe permitir generar esa copia en un formato legible (PDF estructurado o impresión formateada) y hacerlo en un plazo razonable.

Cómo lo verificas

  • ¿Puedes generar una copia del expediente de un paciente en PDF en pocos clics?
  • ¿El PDF incluye toda la información relevante, no solo la última consulta?
  • ¿El sistema permite registrar el consentimiento informado del paciente?
  • ¿Hay un procedimiento para eliminar datos bajo solicitud del paciente (cuando proceda legalmente)?

Cómo cumple Astramedik con este checklist

Astramedik fue diseñado desde su arquitectura para cumplir con la NOM-024 y la NOM-004, lo que en la práctica significa que los 8 puntos de este checklist están satisfechos por defecto. Identificación de usuarios por rol, bitácora de auditoría inmutable, cifrado TLS en tránsito y AES-256 en reposo, respaldos automáticos diarios, soporte para CIE-10, exportación de expediente en PDF, y todos los campos obligatorios del expediente clínico mexicano.

Cumplir no tiene que ser complicado

Si hoy estás operando con un sistema que no cumple todos los puntos del checklist, el riesgo ante una inspección es real. La buena noticia es que migrar a un sistema que sí cumple es mucho más rápido de lo que la mayoría de los consultorios imagina: puedes activarlo hoy mismo y empezar a usarlo con los pacientes nuevos desde el primer día.

Conoce cómo el expediente clínico electrónico de Astramedik cumple con todos los requisitos de la NOM-024-SSA3-2012 y prueba la plataforma gratis durante 7 días.

Referencias

  1. Secretaría de Salud. NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Diario Oficial de la Federación, 30 de noviembre de 2012. [Enlace] Consultado: abril 2026
  2. Secretaría de Salud. NOM-004-SSA3-2012, Del expediente clínico. Diario Oficial de la Federación. [Enlace] Consultado: abril 2026

Prueba Astramedik gratis

Expediente clínico, agenda con recordatorios, IA para diagnósticos y más. 7 días gratis.

Comenzar prueba gratis WhatsApp