Funcionalidad
El sistema debe ofrecer las capacidades necesarias para registrar, consultar y conservar la información clínica del paciente conforme a las normas aplicables al expediente clínico.
Cumplimiento normativo
NOM-024-SSA3 — Sistemas de información
La norma técnica que define qué debe hacer un sistema de registro electrónico para la salud en México. Funcionalidad, interoperabilidad y seguridad como obligaciones, no como aspiraciones.
La norma técnica que rige el software clínico en México.
La NOM-024-SSA3-2012 establece los objetivos funcionales y funcionalidades que deberán observar los productos de Sistemas de Expediente Clínico Electrónico para garantizar la interoperabilidad, procesamiento, interpretación, confidencialidad, seguridad y uso de estándares y catálogos de la información de los registros electrónicos en salud.
Mientras la NOM-004-SSA3 define qué debe contener el expediente clínico, la NOM-024-SSA3 define cómo debe comportarse el software que lo gestiona. Las dos normas son complementarias y se aplican simultáneamente a cualquier plataforma como DCEMedSuite.
Para una clínica que adopta software clínico, esta norma es la referencia para evaluar si la herramienta que está comprando cumple con los criterios técnicos mínimos exigidos por la autoridad sanitaria.
Funcionalidad. Interoperabilidad. Seguridad.
La norma se organiza en torno a tres pilares. Cada uno contiene decenas de criterios específicos que el software debe satisfacer.
Interoperabilidad
El sistema debe usar catálogos y estándares que permitan el intercambio de información clínica entre prestadores cuando las disposiciones lo autoricen y el paciente lo consienta.
Seguridad
El sistema debe proteger la información mediante mecanismos técnicos y administrativos que garanticen confidencialidad, integridad y disponibilidad.
Lo que el software debe hacer.
La norma exige que el sistema permita registrar, consultar y conservar la información clínica de manera estructurada y recuperable.
01
Registro estructurado
Lo que exige la norma
Captura de datos clínicos en campos estructurados que permiten su recuperación, búsqueda y reportería.
Cómo lo cumple DCEMedSuite
DCEMedSuite estructura cada nota de consulta en campos discretos: motivo, exploración, diagnósticos CIE-10, plan terapéutico y receta. Sin texto libre obligatorio donde la norma exige campos específicos.
02
Identificación unívoca del paciente
Lo que exige la norma
El sistema debe permitir identificar al paciente de manera única y consistente entre consultas.
Cómo lo cumple DCEMedSuite
Cada paciente tiene un identificador único persistente (PAC-XXXXXX) además de su CURP. La identidad se mantiene consistente entre consultas, médicos y módulos.
03
Catálogos clínicos estandarizados
Lo que exige la norma
Uso de catálogos oficiales para diagnósticos, medicamentos y procedimientos cuando estén disponibles.
Cómo lo cumple DCEMedSuite
Catálogo CIE-10 para diagnósticos. Catálogo de medicamentos basado en el Compendio Nacional de Insumos para la Salud (CNIS-2025) con 765 genéricos enriquecidos con códigos ATC.
04
Recuperación de información
Lo que exige la norma
El sistema debe permitir consultar la información del paciente de forma ordenada cronológicamente.
Cómo lo cumple DCEMedSuite
El expediente del paciente se presenta en orden cronológico inverso, con filtros por tipo de evento (consulta, estudio, receta) y por médico tratante.
Catálogos estandarizados.
DCEMedSuite utiliza los catálogos oficiales y estándares que la norma referencia, evitando taxonomías propias que limitarían la interoperabilidad.
CIE-10 para diagnósticos
Clasificación Internacional de Enfermedades, décima revisión, en la versión utilizada por el sistema de salud mexicano.
CNIS-2025 para medicamentos
Compendio Nacional de Insumos para la Salud, edición 2025, con códigos oficiales de presentaciones.
Códigos ATC
Sistema de Clasificación Anatómica, Terapéutica y Química de la OMS para medicamentos, mapeado al catálogo local.
CFDI 4.0
Estándar del SAT para comprobantes fiscales digitales. Detalle en la página de cumplimiento CFDI 4.0.
Sobre el intercambio entre prestadores
La interoperabilidad técnica que exige la norma no implica compartir expedientes entre clínicas de manera abierta. El expediente clínico permanece privado de cada establecimiento. La única información que viaja entre prestadores es la del pasaporte del paciente, con consentimiento explícito y bajo control del paciente.
Confidencialidad, integridad y disponibilidad.
Las medidas técnicas y administrativas que protegen la información clínica en DCEMedSuite — alineadas con la NOM-024-SSA3 y con las obligaciones derivadas de la LFPDPPP.
Control de acceso
Autenticación de usuarios con credenciales individuales. Roles configurables con principio de menor privilegio. Cada acción queda asociada al usuario que la realizó.
Cifrado
Datos cifrados en tránsito mediante TLS. Datos sensibles cifrados en reposo. Las credenciales se almacenan con algoritmos modernos de hash.
Bitácora de auditoría
Cada acceso, modificación o exportación de información clínica genera un registro inalterable con identidad del usuario, hora y operación realizada.
Aislamiento entre clientes
Cada clínica opera sobre una base de datos lógicamente aislada. Los datos de un cliente no son accesibles desde el inquilino de otro cliente bajo ninguna circunstancia.
Respaldos
Respaldos cifrados con prueba periódica de restauración. La política de retención se ajusta a los plazos exigidos por la normativa aplicable al expediente clínico.
Disponibilidad
Compromiso contractual de disponibilidad mensual del 99.5%, medido fuera de ventanas de mantenimiento programado. Detalle en los Términos.
Cada operación deja rastro
Crear, modificar, consultar, exportar — toda operación sobre datos clínicos genera un registro de auditoría con identidad del usuario, hora y operación. El registro es inalterable y exportable por la clínica.
Roles y permisos por inquilino
Cada clínica configura sus propios roles, asigna permisos por módulo y revoca acceso de manera inmediata. La separación entre inquilinos es estructural — no depende de filtros aplicados a consultas.
Cumplimiento como decisión de arquitectura
La diferencia entre cumplir la NOM-024-SSA3 desde la arquitectura y cumplirla con políticas administrativas es enorme. Una plataforma que filtra accesos con reglas a nivel aplicación puede fallar; una plataforma que aísla a sus clientes a nivel de base de datos no puede fallar de la misma manera, porque la información ni siquiera es accesible.
DCEMedSuite tomó la decisión arquitectónica desde el primer commit: cada clínica tiene su propia base de datos clínica, y el pasaporte del paciente vive en una base de datos completamente separada. El cumplimiento de la NOM-024-SSA3 no es una capa que agregamos después — es el fundamento del sistema.
Documentos relacionados
Esta norma trabaja en conjunto con NOM-004-SSA3 (contenido del expediente), LFPDPPP (protección de datos personales) y CFDI 4.0 (facturación).
¿Tu clínica necesita un sistema que cumpla la NOM-024?
En la demo recorremos contigo cómo DCEMedSuite responde a cada uno de los criterios técnicos de la norma, con ejemplos reales.