NOM-024-SSA3-2010: Guía Completa 2026 para Expediente Clínico Electrónico
Todo sobre la NOM-024-SSA3-2010: qué exige para el expediente clínico electrónico, interoperabilidad, seguridad de datos y cómo cumplirla en tu clínica en 2026.
NOM-024-SSA3-2010: Guía Completa 2026 para Expediente Clínico Electrónico
¿Qué es la NOM-024-SSA3-2010?
La NOM-024-SSA3-2010 es la Norma Oficial Mexicana que establece los requisitos mínimos de infraestructura y funcionamiento que deben cumplir los sistemas de información de registro electrónico para la salud en México. Fue publicada en el Diario Oficial de la Federación y es de observancia obligatoria para cualquier establecimiento que utilice tecnología digital para gestionar información médica.
A diferencia de la NOM-004-SSA3-2012 — que regula el contenido del expediente clínico (qué debe incluir, cómo se firma, cuánto tiempo se conserva) — la NOM-024 regula el sistema que lo gestiona: cómo funciona el software, qué medidas de seguridad debe tener y cómo debe compartir información con otros sistemas de salud.
En términos simples:
- NOM-004 = qué debe tener el expediente
- NOM-024 = cómo debe funcionar el sistema que lo maneja
Si usas un sistema de expediente clínico electrónico en tu consultorio, clínica u hospital, ambas normas te aplican simultáneamente.
Los 5 pilares que exige la NOM-024-SSA3-2010
1. Interoperabilidad
El sistema debe ser capaz de intercambiar información clínica con otros sistemas de salud de forma estandarizada. Esto incluye hospitales de referencia, laboratorios, aseguradoras y organismos de salud pública como el IMSS, ISSSTE o la Secretaría de Salud.
La norma exige el uso de estándares internacionales como HL7 para el intercambio de mensajes clínicos y formatos compatibles con los sistemas nacionales de información en salud.
En la práctica, esto significa que un expediente creado en tu consultorio debe poder ser leído y procesado correctamente por el sistema de un hospital al que refiras a tu paciente.
2. Seguridad de la información
El sistema debe implementar mecanismos técnicos para proteger la información médica contra accesos no autorizados, alteraciones y pérdidas. La norma especifica:
- Cifrado de datos en tránsito y en reposo
- Autenticación robusta de usuarios (usuario + contraseña mínimo, idealmente con segundo factor)
- Registro de auditoría de todos los accesos y modificaciones al expediente
- Protección contra ataques informáticos externos e internos
3. Confidencialidad
La información médica del paciente es estrictamente confidencial. El sistema debe garantizar que:
- Solo el personal autorizado puede acceder a cada expediente
- Los permisos de acceso se gestionan por roles (médico, enfermera, recepcionista, administrador)
- Cualquier consulta o modificación queda registrada con fecha, hora y usuario responsable
- El paciente tiene derecho a conocer quién ha accedido a su información
4. Respaldo y recuperación
El sistema debe garantizar la continuidad del servicio y la recuperabilidad de la información ante fallas técnicas, desastres naturales o incidentes de seguridad. Esto incluye:
- Copias de seguridad automáticas con frecuencia mínima diaria
- Almacenamiento redundante (al menos en dos ubicaciones distintas)
- Procedimientos documentados de recuperación ante desastres
- Tiempo máximo de recuperación (RTO) definido y probado
5. Acceso controlado por roles
El sistema debe implementar un modelo de control de acceso basado en roles (RBAC) que permita definir con precisión qué información puede ver, crear, modificar o eliminar cada tipo de usuario. Los roles mínimos que la norma contempla incluyen:
- Médico tratante
- Personal de enfermería
- Personal administrativo
- Directivos y auditores internos
¿A quién le aplica la NOM-024-SSA3-2010?
La norma aplica a cualquier establecimiento de atención médica que utilice sistemas electrónicos para gestionar información de salud, incluyendo:
- Hospitales públicos y privados de cualquier nivel de complejidad
- Clínicas y consultorios que usen software de expediente clínico electrónico
- Laboratorios clínicos con sistemas de gestión de resultados
- Centros de imagen diagnóstica (radiología, ultrasonido, resonancia)
- Consultorios de especialidad — odontología, oftalmología, pediatría, etc.
- Farmacias con sistema de prescripción electrónica
En otras palabras: si tienes una computadora o tablet en tu consultorio donde registras información de pacientes, la NOM-024 te aplica.
NOM-004 vs NOM-024: diferencias clave
| Aspecto | NOM-004-SSA3-2012 | NOM-024-SSA3-2010 |
|---|---|---|
| Objeto de regulación | El expediente clínico como documento | El sistema informático que lo gestiona |
| Enfoque principal | Contenido, integridad y conservación | Seguridad, interoperabilidad y funcionamiento técnico |
| Obligados | Todos los médicos y establecimientos de salud | Establecimientos que usen sistemas electrónicos de salud |
| Firma electrónica | Reconoce la firma electrónica como válida | Regula los estándares técnicos de la firma electrónica |
| Confidencialidad | Establece quién puede acceder al expediente | Regula cómo el sistema controla técnicamente esos accesos |
| Tiempo de conservación | Mínimo 5 años por expediente | Regula los mecanismos técnicos de respaldo y conservación |
| Publicación | 2012 (vigente con actualizaciones) | 2010 (vigente con complementos del decreto 2026) |
Cómo SaludTotal cumple con la NOM-024
SaludTotal fue diseñado desde su arquitectura para cumplir tanto la NOM-004 como la NOM-024. No es un sistema genérico adaptado a la normatividad mexicana — fue construido con ella como base.
Infraestructura en AWS con alta disponibilidad
SaludTotal opera sobre Amazon Web Services (AWS) con servidores ubicados en México y con certificaciones de seguridad internacionales (ISO 27001, SOC 2). Esto garantiza la disponibilidad del sistema y la ubicación geográfica de los datos dentro de los requisitos de la normatividad mexicana.
Cifrado end-to-end
Toda la información transmitida entre tu dispositivo y los servidores de SaludTotal viaja cifrada con TLS 1.3. Los datos almacenados están cifrados con AES-256 — el mismo estándar que usan los bancos y sistemas financieros.
Respaldo automático diario
El sistema realiza copias de seguridad automáticas cada 24 horas, con retención de 90 días y almacenamiento geográficamente redundante. En caso de cualquier incidente, la recuperación de datos está garantizada sin pérdida de información.
Logs de auditoría completos
Cada acción en SaludTotal queda registrada: quién entró, qué expediente consultó, qué modificaciones realizó, desde qué dispositivo y a qué hora. El registro de auditoría es inmutable y exportable para inspecciones de COFEPRIS.
Control de acceso por roles
SaludTotal permite definir permisos específicos por usuario y rol. El médico ve lo que necesita para consultar; el recepcionista solo accede a la agenda y datos de contacto; el administrador gestiona lo financiero. Todo bajo el modelo RBAC que exige la NOM-024.
Solicita una demo y recibe tu checklist de cumplimiento gratis
Cumplir la NOM-024 puede parecer complejo cuando lo lees en el texto oficial. En la práctica, con el sistema correcto, el cumplimiento es automático — no tienes que hacer nada especial.
En SaludTotal te ofrecemos una demostración de 30 minutos sin costo donde verás cómo el sistema maneja la seguridad, los accesos y el respaldo en tiempo real. Y si agendas esta semana, te enviamos el checklist de cumplimiento NOM-004 + NOM-024 para que puedas evaluar cualquier sistema con criterios objetivos.
👉 Solicita tu demo en saludtotal.mx — sin compromisos, en tu horario.
Recursos relacionados
- NOM-004-SSA3-2012: Guía completa — Requisitos, Sanciones y Cumplimiento
- Centro de llamadas con IA para clínicas: nunca más una llamada sin contestar en tu clínica.
SaludTotal — Digitaliza tu consultorio: agenda, expedientes y facturación en un solo lugar. Cumplimiento NOM-004 y NOM-024 desde el día 1.