Una empresa de logística mediana dejó toda su base de datos de clientes expuesta en internet durante 11 días. Así, sin más. Nunca le preguntaron nada sobre cifrado a su proveedor de help desk durante la evaluación. El resultado: $2,4 millones en multas, abogados y contratos que se esfumaron.
Y ojo, esa cifra no es nada rara. El informe Cost of a Data Breach 2025 de IBM pone el promedio global en $4,88 millones. Las empresas pequeñas suelen salir peor en proporción porque no tienen con qué recuperarse rápido.
Vamos al grano: la mayoría de los compradores de software dedican más tiempo comparando listas de funciones que revisando la seguridad. Discuten si la herramienta tiene tableros Kanban pero jamás preguntan dónde se guardan sus datos o quién tiene acceso.
Este checklist existe para que no caigas en esa trampa. Imprímelo. Compártelo con tu equipo de compras. Llévalo a cada demo. Los 30 minutos que inviertas en evaluar la seguridad te pueden ahorrar millones.
Los 5 Requisitos de Seguridad que No Son Negociables
Antes de evaluar una sola función, confirma estos cinco puntos. Si un proveedor falla en cualquiera, sal de ahí. Sin excepciones.
1. Certificación SOC 2 Tipo II. SOC 2 Tipo I quiere decir que el proveedor diseñó controles de seguridad. El Tipo II significa que un auditor independiente verificó que esos controles de verdad funcionan durante 6 a 12 meses. Siempre pide el Tipo II. Exige el informe más reciente. Si solo tienen Tipo I, están empezando con la seguridad. Para una startup que maneja datos no sensibles, puede pasar. Pero para cualquier cosa que toque información de clientes, registros financieros o datos de empleados, esto no se negocia.
2. Cifrado en Reposo y en Tránsito. Tus datos deben estar cifrados con AES-256 cuando están guardados en los servidores del proveedor (en reposo) y con TLS 1.2 o superior cuando viajan entre tu navegador y la plataforma (en tránsito). Pregunta específicamente sobre la gestión de claves. ¿Quién las tiene? ¿Puedes traer tus propias claves (BYOK)? Proveedores grandes como Salesforce y ServiceNow ofrecen BYOK. Los más chicos normalmente no. Si operas en industrias reguladas, esto importa mucho.
3. Autenticación Multifactor (MFA). El proveedor tiene que soportar MFA para todas las cuentas, no solo las de admin. Verifica que funcione con apps de autenticación (TOTP), llaves de hardware (FIDO2/WebAuthn) y SSO. Una cantidad absurda de filtraciones empieza con una contraseña comprometida. En 2024, la brecha de Change Healthcare afectó 100 millones de registros. Empezó con credenciales robadas en una cuenta sin MFA.
4. Control de Acceso Basado en Roles (RBAC). Cada usuario necesita el mínimo acceso para hacer su trabajo. Punto. Verifica que el proveedor ofrezca permisos granulares. ¿Puedes crear roles personalizados? ¿Restringir acceso por departamento, geografía o tipo de datos? Las estructuras planas donde todos ven todo son una filtración esperando suceder.
5. Registro de Auditoría. Cada acción en el sistema debe quedar registrada: quién la hizo, cuándo y desde dónde. Los registros tienen que ser inmutables, o sea que los usuarios no pueden borrar ni alterar sus propios registros. Pregunta cuánto tiempo los conservan. 90 días es el mínimo para la mayoría de frameworks de cumplimiento. Salud y finanzas suelen exigir 7 años. También pregunta si los registros se pueden exportar a tu SIEM (Splunk, Datadog, etc.).
Cumplimiento de Privacidad de Datos por Región
Si tu empresa opera internacionalmente o tiene clientes en distintos países, necesitas verificar el cumplimiento con las leyes regionales de privacidad. Equivocarte aquí sale carísimo.
GDPR (Unión Europea). El Reglamento General de Protección de Datos aplica a cualquier empresa que procese datos de residentes de la UE, sin importar dónde esté la empresa. Lo que tienes que verificar: ¿El proveedor ofrece un Acuerdo de Procesamiento de Datos (DPA)? ¿Puede confirmar que los datos se guardan dentro de la UE? ¿Soporta el derecho al olvido? ¿Tiene un Delegado de Protección de Datos? Las multas del GDPR llegan al 4% de los ingresos globales anuales. A Meta le cayeron $1.300 millones en 2023 por violaciones al GDPR.
CCPA/CPRA (California). La ley de privacidad de California aplica a empresas que atienden residentes de ese estado. Verifica: ¿El proveedor te permite responder solicitudes de acceso y eliminación de datos? ¿Venden o comparten información personal con terceros? ¿Pueden darte un registro de todas las categorías de datos que recopilan?
LGPD (Brasil). La ley brasileña de protección de datos se parece al GDPR pero tiene requisitos propios. Confirma: ¿Tienen representante legal en Brasil si procesan datos brasileños? ¿Cumplen con la portabilidad de datos de la LGPD? ¿Soportan los mecanismos de consentimiento que exige la LGPD? Si tienes operaciones en Brasil, esto va directo a tu lista de prioridades.
PIPEDA (Canadá). La ley canadiense de privacidad exige consentimiento para la recopilación de datos. Verifica: ¿La recopilación del proveedor se alinea con los diez principios de información justa de PIPEDA? ¿Demuestran responsabilidad y transparencia? ¿Sus políticas de retención están documentadas y son razonables?
No asumas que un proveedor cumple solo porque lo dice. Pide pruebas. Certificaciones, DPAs, informes de auditorías de terceros. Si dudan en entregarte estos documentos, ya tienes tu respuesta.
Requisitos de Cumplimiento por Industria
La seguridad genérica es solo la base. Tu industria seguramente tiene requisitos regulatorios adicionales que tus proveedores de software deben cumplir.
HIPAA (Salud). Si manejas Información de Salud Protegida (PHI), cada proveedor que toque esos datos necesita firmar un Business Associate Agreement (BAA). No todos lo hacen. Slack se negó a firmar BAAs durante años, obligando a empresas de salud a buscar alternativas. Verifica: ¿Firman un BAA? ¿Tienen configuraciones compatibles con HIPAA? ¿Pueden demostrar sus controles de seguridad? ¿Sus procesos de respaldo y recuperación cumplen con HIPAA? Las multas van de $100 a $50.000 por violación, con máximos anuales de $1,5 millones por categoría.
PCI-DSS (Datos de Tarjetas de Pago). Cualquier software que procese, almacene o transmita datos de tarjetas de crédito tiene que cumplir con PCI-DSS. Esto aplica aunque el proveedor use un procesador como Stripe. Verifica: ¿Cuál es su nivel de cumplimiento PCI-DSS? ¿Almacenan datos de tarjetas o usan tokenización? ¿Cuándo fue su última auditoría PCI? ¿Pueden darte su Attestation of Compliance (AOC)?
FERPA (Educación). Las instituciones educativas deben proteger los registros de estudiantes. Confirma: ¿El proveedor tiene experiencia con instituciones educativas? ¿Firma un acuerdo de intercambio de datos compatible con FERPA? ¿Garantiza que los datos de estudiantes no se usan para marketing ni se venden?
SOX (Empresas Públicas). Sarbanes-Oxley exige que las empresas públicas mantengan registros financieros precisos y controles internos. Verifica: ¿El software mantiene un audit trail completo de transacciones financieras? ¿Puede aplicar separación de funciones? ¿Soporta los controles que tus auditores necesitan?
¿Te empieza a parecer mucho? Bien. La evaluación de seguridad tiene que ser exhaustiva. Las empresas que se saltan estos pasos son las que terminan en los titulares.
El Cuestionario de Seguridad: 25 Preguntas que Debes Hacer
Manda estas preguntas a cada proveedor antes de firmar nada. Agrúpalas por categoría y exige respuestas por escrito. Las promesas de palabra no valen.
Protección de Datos (Preguntas 1-5). 1) ¿Dónde se almacenan físicamente nuestros datos y en qué países? 2) ¿Nuestros datos están cifrados en reposo y en tránsito, y con qué estándares? 3) ¿Cómo se separan lógicamente nuestros datos de los de otros clientes? 4) ¿Cuál es tu política de retención de datos y podemos personalizarla? 5) Si terminamos el contrato, ¿cómo recuperamos nuestros datos y en cuánto tiempo?
Control de Acceso (Preguntas 6-10). 6) ¿Soportan SSO vía SAML 2.0 u OpenID Connect? 7) ¿El MFA está disponible para todos los usuarios o solo para planes enterprise? 8) ¿Qué tan granulares son los controles de permisos? 9) ¿Podemos restringir acceso por IP o ubicación geográfica? 10) ¿Cómo gestionan el acceso de sus propios empleados a nuestros datos?
Respuesta a Incidentes (Preguntas 11-15). 11) ¿Cuál es tu plan de respuesta a incidentes y con qué rapidez nos avisan de una filtración? 12) ¿Han tenido una filtración de datos en los últimos 3 años? 13) ¿Cuentan con seguro de responsabilidad cibernética? 14) ¿Cuál es tu tiempo promedio para detectar y responder a incidentes? 15) ¿Pueden darnos referencias de clientes que hayan pasado por un incidente de seguridad con ellos?
Cumplimiento y Auditoría (Preguntas 16-20). 16) ¿Qué certificaciones tienen (SOC 2, ISO 27001, etc.)? 17) ¿Cuándo fue su última auditoría de seguridad de terceros? 18) ¿Podemos revisar su informe SOC 2 Tipo II? 19) ¿Hacen pruebas de penetración regularmente y podemos ver los resultados? 20) ¿Cómo manejan la divulgación de vulnerabilidades?
Infraestructura y Operaciones (Preguntas 21-25). 21) ¿Qué infraestructura en la nube usan (AWS, Azure, GCP)? 22) ¿Cuál es tu plan de recuperación ante desastres y cuál es tu RPO/RTO? 23) ¿Cada cuánto hacen respaldos y los prueban? 24) ¿Tienen un proceso documentado de gestión de cambios? 25) ¿Cuál es tu ciclo de desarrollo de software y hacen revisiones de seguridad del código?
Un proveedor profesional contesta las 25 sin pestañear. Si se ponen evasivos con la transparencia, tómalo como una señal de alarma seria.
Evaluación de SLAs: Disponibilidad, Tiempos de Respuesta y Respaldos
El SLA (Acuerdo de Nivel de Servicio) es donde las promesas se convierten en obligaciones contractuales. Léelo con lupa.
Garantías de Disponibilidad. La mayoría de los proveedores prometen 99,9% de uptime. Suena genial hasta que haces las cuentas: el 99,9% permite 8,76 horas de caída al año. Para un help desk del que depende tu equipo de soporte, eso puede ser un día completo de productividad perdida. Presiona por 99,95% (4,38 horas/año) o 99,99% (52,56 minutos/año) para sistemas críticos. Y verifica qué cuenta como caída. Algunos proveedores excluyen las ventanas de mantenimiento programado de sus cálculos.
Tiempos de Respuesta a Incidentes. Los SLAs deben especificar tiempos de respuesta y resolución por severidad. Incidentes críticos (sistema totalmente caído): respuesta en 15 minutos, resolución en 4 horas. Severidad alta (función principal rota): respuesta en 1 hora, resolución en 8 horas. Severidad media (problema menor): respuesta en 4 horas, resolución en 24 horas. Severidad baja (cosmético o menor): respuesta en 24 horas, resolución en 5 días hábiles.
Frecuencia de Respaldos. ¿Cada cuánto el proveedor respalda tus datos? Diario es el mínimo. Para sistemas transaccionales, busca respaldos cada hora o continuos. ¿Dónde se guardan? Deben estar en una ubicación geográficamente separada del dato primario. ¿Puedes pedir una restauración? ¿Cuánto tarda? Prueba esto antes de necesitarlo en una emergencia.
Remedios Financieros. ¿Qué pasa cuando el proveedor no cumple su SLA? Busca créditos de servicio con dientes de verdad. Un crédito del 5% por una hora de caída es una broma. El estándar de la industria es 10-30% de crédito mensual por incumplimientos serios. También busca derechos de terminación si los incumplimientos se vuelven crónicos.
Portabilidad de Datos y Plan de Salida
Nadie compra software pensando en irse. Pero siempre debes planificar tu salida antes de firmar.
Los formatos de exportación importan mucho. ¿Puedes sacar tus datos en formatos estándar como CSV, JSON o XML? ¿O el proveedor usa formatos propietarios que te atan? Pregunta directo: ¿Podemos exportar todo incluyendo adjuntos, registros históricos y metadatos? ¿La exportación es automática o hay que pedirla a soporte? ¿Tiene algún costo?
Algunos proveedores hacen que irse sea intencionalmente doloroso. Limitan la velocidad de exportación, cobran tarifas de extracción o te dan los datos en formatos que técnicamente son abiertos pero en la práctica son inútiles sin una transformación brutal.
Crea un plan de salida documentado antes de firmar. Debe incluir: cronograma de migración (normalmente 30-90 días), lista de todos los tipos de datos a extraer, especificaciones de formato, responsables en ambos lados, y confirmación de que el proveedor eliminará tus datos después de la migración. Que los términos de salida queden en el contrato, no en un apretón de manos.
¿Y tus integraciones? Si construiste integraciones custom a través de la API del proveedor, entiende qué se rompe cuando te vas. Documenta todos los puntos de integración durante la implementación para poder planificar reemplazos.
Señales de Alarma en la Evaluación de Seguridad
Después de evaluar cientos de proveedores, hay patrones que predicen problemas de seguridad de forma bastante confiable.
Respuestas vagas a preguntas concretas. Cuando preguntas sobre estándares de cifrado y te dicen 'usamos seguridad de estándar industrial,' insiste. Un proveedor maduro dirá 'AES-256 para datos en reposo, TLS 1.3 en tránsito, con claves gestionadas a través de AWS KMS.' La especificidad lo es todo.
Sin informe SOC 2. Cualquier proveedor que atienda clientes empresariales con datos sensibles debería tener SOC 2 Tipo II como mínimo. Si no lo tienen, pregunta por qué y para cuándo lo planean. Una startup en su primer año, se entiende. ¿Una empresa de cinco años con clientes enterprise? Mala señal.
Infraestructura compartida sin aislamiento de tenants. La arquitectura multi-tenant es estándar y normalmente está bien. Pero tus datos deben estar lógicamente aislados. Pregunta si una vulnerabilidad en la configuración de otro cliente podría exponer tus datos.
Se resisten a firmar un DPA o BAA. Si el proveedor duda en firmar acuerdos de protección de datos legalmente vinculantes, o no entienden el requisito o saben que no pueden cumplirlo. Ninguna de las dos opciones es aceptable.
Cero pruebas de penetración. Las pruebas de pen testing regulares por terceros son práctica estándar. Los proveedores que no las hacen, o no comparten resultados, están cortando esquinas en seguridad.
Respuestas lentas o a la defensiva ante preguntas de seguridad. Las empresas serias en seguridad reciben las preguntas difíciles con los brazos abiertos porque están preparadas. Los que se ponen a la defensiva o tardan una eternidad en responder suelen estar tapando huecos.
La cosa es que la postura de seguridad del proveedor se convierte en tu postura de seguridad en el momento en que tus datos entran a su sistema. Elige con cuidado.