Protocolo de seguridad para acciones fraudulentas
Objetivo
Establecer normas claras y obligatorias que protejan la integridad económica, operativa y digital de todas las clínicas del grupo, así como salvaguardar la información sensible de los colaboradores, directivos y pacientes frente a posibles estafas, fraudes o ataques maliciosos.
1. Normas ante llamadas o contactos sospechosos
Prohibido brindar información: Ningún colaborador está autorizado a compartir nombres, apellidos, números de teléfono o correos electrónicos de los managers, dueños o personal administrativo con terceros bajo ninguna circunstancia.
Colectar datos, no actuar: Ante cualquier llamada sospechosa, o si alguien solicita información o acciones relacionadas con dinero, permisos, cambios operativos o decisiones de alto nivel:
Registrar el nombre completo del interlocutor.
Solicitar número de contacto.
Anotar el motivo de la llamada.
Informar al mánager directo para que realice la devolución de la llamada.
No actuar por órdenes telefónicas no verificadas: aunque la persona diga ser un manager, inspector, dueño o cualquier otra figura de autoridad, NO se tomará ninguna acción sin la verificación directa del manager oficial de la sede.
Proceso de Verificación Directa del Manager Oficial de la Sede
Interrumpir la llamada o solicitud amablemente diciendo:
“Disculpe, por motivos de seguridad, debo verificar esta información directamente con el manager oficial antes de proceder. Tomaré sus datos y le devolveremos la llamada en breve.”
Registrar la siguiente información de quien llama:
Nombre completo
Número de teléfono
Motivo exacto de la solicitud
A quién dice representar (empresa, institución, etc.)
Cortar la llamada y no seguir instrucciones.
Llamar al mánager oficial de la sede únicamente al número registrado en el directorio interno corporativo (no a ningún número proporcionado por quien llama).
Verificar la validez de la solicitud directamente con el manager. El manager evaluará si es necesario devolver la llamada al tercero o tomar alguna acción.
Si el manager no está disponible:
NO se tomará ninguna acción hasta recibir confirmación directa del mismo.
El colaborador deberá reportar el caso al siguiente nivel jerárquico (por ejemplo, al supervisor regional o corporativo) para obtener respaldo.
Nunca devolver la llamada a un número proporcionado por quien hace la solicitud, ya que esto es una práctica común de los estafadores para redirigir a cómplices que fingen ser personal de la organización.
2. Manejo de dinero en la clínica
Autorización exclusiva del manager-Manejo de Caja
Solo el mánager oficial de la sede está autorizado para tomar decisiones sobre los movimientos de dinero en caja. Sin embargo, esta autorización tiene limitaciones claras y excepciones específicas que todos los colaboradores deben cumplir sin excepción.
Reglas generales de manejo de dinero en clínica:
Prohibido realizar transferencias de dinero a terceros (cuentas bancarias, Zelle, Cash App, Venmo, etc.) bajo ninguna circunstancia.
Ningún manager está autorizado a ordenar una transferencia electrónica desde caja chica.
Cualquier solicitud de este tipo es automáticamente considerada sospechosa y se debe reportar.
Autorización válida solo para compras específicas y locales:
El manager puede autorizar el retiro de efectivo únicamente para compras físicas de artículos específicos (como suministros, alimentos o materiales de oficina).
La autorización debe incluir:
Artículo o servicio a adquirir
Monto exacto
Hora aproximada de la compra
Persona responsable
La autorización debe ser clara y verificable:
Siempre debe hacerse por mensaje escrito (WhatsApp, Conexión Guadalupe, correo institucional).
En caso de duda, el colaborador debe llamar directamente al número oficial del mánager para confirmar.
Jamás se aceptará como válida una orden telefónica sin confirmación escrita.
Toda transacción debe dejar rastro documental:
Se debe conservar el recibo o factura.
Se debe registrar el movimiento en cierre diario de control de caja.
Los front desk o personal de apoyo no están autorizados a tomar decisiones de caja sin autorización directa del manager oficial, sin importar la urgencia o el contexto presentado.
Ningún colaborador debe usar dinero personal: está completamente prohibido que cualquier empleado use dinero de su bolsillo para resolver situaciones operativas, pagar a inspectores o resolver supuestas urgencias.
3. Seguridad física y control de acceso
Alarma al cierre: Es responsabilidad del front desk activar la alarma al cerrar la clínica.
Alarma al ingreso (limpieza): El personal de limpieza debe reactivar la alarma al llegar a la clínica.
Cambio de códigos periódicos: Los códigos de alarmas y cámaras serán diferentes por clínica y se actualizarán periódicamente cada dos meses.
Registro de acceso: Toda persona que tenga acceso a códigos de alarma o cámaras debe registrarse en un formulario institucional. Este registro debe mantenerse actualizado, por el personal de TI.
4. Seguridad informática
Prohibido abrir enlaces sospechosos: No se debe hacer clic en correos o enlaces de remitentes desconocidos, incluso si llevan etiquetas como “URGENTE”, “IMPORTANTE”, etc.
Revisión exclusiva por los managers: Cualquier correo con solicitudes inusuales debe ser revisado y validado únicamente por el manager de la clínica o por el departamento de IT.
5. Responsabilidad compartida
La seguridad de la clínica es responsabilidad de todo el personal.
6. Capacitación y firma
Todos los empleados deberán recibir una capacitación obligatoria sobre este protocolo, por parte de su mánager regional.
Se firmará un documento de aceptación y entendimiento por cada colaborador.
7. Información de directivos de alto rango
***** EN CASO DE URGENCIA *****
Frank Alvarez (COO): +1 469-747-2214
Olber Reyes (CEO): +1 469-640-8646
Dixie Directora de Operaciones: +1 469-224-9594
