Ir al contenido principal
HubSecure
Menú

Blog

Lista de Verificación de Seguridad de Proveedores: Qué Preguntar a Cada Proveedor SaaS Antes de Firmar

Cada herramienta SaaS que adoptas procesa los datos de tu empresa y potencialmente los de tus clientes. Esta lista de verificación te da las preguntas que debes hacer — y las respuestas que deben hacerte salir corriendo — antes de comprometerte con cualquier proveedor de software.

· Por HubSecure Security

Registrarse en una nueva herramienta SaaS lleva minutos. La diligencia debida que debería preceder a esa decisión suele durar menos que el propio registro. Para la mayoría de las pequeñas y medianas empresas, la evaluación de seguridad de proveedores consiste en revisar la página de precios y leer una reseña — y nada más.

Esto crea un riesgo real. Cada proveedor SaaS que adoptas procesa datos empresariales. Para cualquier herramienta que toque datos personales de tus clientes o empleados, tienes responsabilidad legal sobre cómo ese proveedor los gestiona. Bajo el RGPD, eres el responsable del tratamiento; el proveedor es el encargado; y eres responsable de garantizar que el encargado ofrece garantías suficientes.

«Es una empresa conocida» no es un proceso de diligencia debida. Esta lista de verificación sí lo es.

Antes de evaluar: define qué datos tocará la herramienta

Nivel 1 — Alta sensibilidad: la herramienta procesará datos personales de clientes, empleados u otros individuos. Ejemplos: CRM, software de RRHH, email marketing, helpdesk, gestión documental, software financiero, almacenamiento en la nube.

Nivel 2 — Sensibilidad media: la herramienta procesará datos empresariales pero no datos personales.

Nivel 3 — Baja sensibilidad: la herramienta no procesa datos confidenciales.

Las herramientas de Nivel 1 requieren la lista completa. Las de Nivel 2 requieren las secciones 1–3.

Sección 1: Requisitos legales y contractuales

Estos son imprescindibles para cualquier proveedor de Nivel 1.

Acuerdo de Encargado del Tratamiento

  • ¿Ofrece el proveedor un Acuerdo de Encargado del Tratamiento (AET)?
  • ¿Incluye el AET las cláusulas obligatorias del Artículo 28 del RGPD?
  • ¿Puedes acceder y firmar el AET antes de suscribirte?

Si un proveedor no ofrece un AET para una herramienta que procesa datos personales, no procedas.

Sub-encargados

  • ¿Divulga el proveedor qué sub-encargados utiliza?
  • ¿Existe un proceso para ser notificado de cambios en los sub-encargados?
  • ¿Exige el AET al proveedor imponer obligaciones equivalentes a los sub-encargados?

Transferencias internacionales

  • ¿Dónde está domiciliado el proveedor?
  • ¿Dónde se almacenan y procesan los datos?
  • Si los datos se transfieren fuera de tu jurisdicción, ¿qué mecanismo de transferencia aplica?
  • ¿Está disponible una Evaluación de Impacto de Transferencia?

Sección 2: Controles de seguridad

Certificaciones

  • ¿Tiene el proveedor certificación ISO 27001?
  • ¿Está disponible SOC 2 Tipo II? (Solicita el informe, no solo una confirmación de que existe)
  • Para infraestructura cloud: ¿hay certificación CSA STAR?

Cifrado

  • ¿Están los datos cifrados en reposo? ¿Con qué estándar? (AES-256 es el mínimo aceptable)
  • ¿Están los datos cifrados en tránsito? (TLS 1.2 o superior)
  • ¿Están las copias de seguridad cifradas?
  • ¿Quién gestiona las claves de cifrado?

Controles de acceso

  • ¿Aplica el proveedor autenticación multifactor para el acceso del personal a los datos de clientes?
  • ¿Está el acceso a los datos de clientes restringido al personal que lo necesita?
  • ¿Se registran y monitorizan las actividades de acceso privilegiado?

Infraestructura

  • ¿Qué proveedor(es) de nube alojan el servicio?
  • ¿Cuál es el SLA de disponibilidad y la disponibilidad histórica?
  • ¿Existen planes documentados de continuidad de negocio y recuperación ante desastres?

Pruebas de penetración

  • ¿Realiza el proveedor pruebas de penetración anuales?
  • ¿Está disponible un resumen de la prueba más reciente?
  • ¿Existe una política de divulgación de vulnerabilidades?

Sección 3: Respuesta a incidentes y notificación de brechas

  • ¿Cuál es el proceso del proveedor para detectar incidentes de seguridad?
  • ¿Cuál es el compromiso contractual para notificarte de una brecha?
  • ¿Es el plazo de notificación coherente con tus propias obligaciones regulatorias (72 horas bajo el RGPD)?
  • ¿Tiene el proveedor seguro de ciberresponsabilidad?

El compromiso de notificación es crítico. Si un proveedor sufre una brecha un sábado y te notifica el miércoles siguiente, puede que hayas perdido tu propia ventana de 72 horas. El AET debe comprometerse a notificar en 24–48 horas.

Sección 4: Gestión de datos

  • ¿Cuál es la política de retención de datos del proveedor?
  • ¿Puedes eliminar tus datos en cualquier momento, incluso durante un contrato?
  • ¿Qué ocurre con tus datos cuando termina el contrato? ¿Se confirma la eliminación por escrito?
  • ¿Puedes exportar todos tus datos en un formato portable y legible por máquina?
  • ¿Cuánto tiempo después de la terminación retiene el proveedor los datos?
  • ¿Existe un registro de auditoría del acceso a tus datos?

Sección 5: Protecciones contractuales

  • ¿Limita el contrato la responsabilidad del proveedor de forma que cree un riesgo significativo para ti?
  • ¿Existen derechos de auditoría para verificar los controles de seguridad?
  • ¿Puedes terminar sin penalización si el proveedor cambia materialmente sus prácticas de privacidad o seguridad?

Las preguntas que hacer durante el proceso de venta

«¿Pueden enviarnos su AET actual antes de programar una demostración?» Un proveedor que duda señala algo sobre su cultura de cumplimiento.

«¿Qué sub-encargados utilizan y cómo nos notificarán de los cambios?» Un proveedor bien preparado tiene una respuesta clara.

«¿Cuándo fue su última prueba de penetración y podemos ver un resumen?» Un proveedor que nunca ha sido sometido a pruebas de penetración merece cautela.

Las respuestas que deben hacerte salir corriendo

  • «No tenemos AET» (para cualquier herramienta de Nivel 1)
  • «Los datos se almacenan en nuestro centro de datos propio» sin detalles sobre controles de seguridad
  • «Nunca hemos sufrido una brecha» como sustituto de la documentación de seguridad
  • «Nuestros términos nos permiten usar tus datos para mejorar nuestros modelos» para cualquier herramienta que gestione datos personales de clientes

Después de firmar: gestión continua de proveedores

Como mínimo anualmente: revisar listas de sub-encargados, solicitar informes SOC 2 actualizados, verificar que el AET sigue reflejando las actividades de tratamiento actuales, confirmar los datos de contacto para notificación de brechas.