Echoprysm guide
Cuestionario de seguridad SaaS para equipos pequeños antes de comprar una herramienta
Guía práctica para evaluar seguridad, privacidad y continuidad de un proveedor SaaS antes de contratarlo, con preguntas, señales de alarma y contexto RGPD.
Comprar una herramienta SaaS ya no es solo comparar precio, funciones y facilidad de uso. Una pyme, una asesoría o un equipo de operaciones puede acabar entregando a un proveedor datos de clientes, facturas, contratos, tickets, credenciales de integración o información comercial. Si el proveedor falla, el impacto lo vive tu negocio aunque el incidente haya ocurrido fuera.
Esta guía propone un cuestionario de seguridad SaaS para equipos pequeños. No sustituye una auditoría ni asesoramiento legal, pero ayuda a detectar respuestas sólidas y lagunas peligrosas.
TL;DR
- Empieza por los datos: qué se sube, dónde se almacena, quién accede y cuánto tiempo se conserva.
- Si el SaaS trata datos personales, pide un contrato de encargado del tratamiento conforme al artículo 28 del RGPD.
- Pregunta por MFA, roles, cifrado, backups, subencargados, exportación, borrado y notificación de incidentes.
- Desconfía de “cumplimos con el RGPD” sin contrato, lista de subprocesadores o evidencia concreta.
- Ajusta la exigencia al riesgo: más control para herramientas críticas; revisión ligera para usos de bajo impacto.
Escenario: una pyme antes de contratar un SaaS
Imagina una empresa de 18 personas que quiere implantar una herramienta de soporte. La prueba gratuita funciona bien y se integra con correo, CRM y facturación. En pocos días, sin embargo, pueden entrar nombres, emails, incidencias, adjuntos, condiciones comerciales e incluso credenciales enviadas por error.
Si además se conecta con contabilidad, Verifactu, e-factura o firma digital, deja de ser “una app más”. La pregunta útil es: “¿qué datos tocará, qué controles tiene y qué hacemos si falla?”.
Primero: clasifica el riesgo
Antes de enviar el cuestionario, responde internamente:
- ¿Tratará datos personales de clientes, empleados, alumnos, pacientes o usuarios?
- ¿Habrá datos financieros, fiscales, laborales, sanitarios o especialmente sensibles?
- ¿Será necesaria para vender, facturar, prestar servicio o cumplir una obligación legal?
- ¿Se integrará con Google Workspace, Microsoft 365, CRM, ERP, banco, e-factura o firma?
- ¿El proveedor podría borrar, modificar, exportar o bloquear datos clave?
Si varias respuestas son “sí”, usa el cuestionario completo. Si el riesgo es bajo, conserva al menos las preguntas sobre datos, contrato, accesos, salida y borrado.
Preguntas clave para el proveedor
1. Datos y finalidad
Pregunta: ¿Qué tipos de datos tratáis, para qué finalidad y durante cuánto tiempo?
Buena respuesta: categorías de datos, finalidades, retención y documentación contractual. Por ejemplo: datos de usuarios, contenido cargado por el cliente y metadatos necesarios para prestar el servicio, con eliminación tras la baja en un plazo definido.
Respuesta preocupante: “solo guardamos lo necesario” o “no accedemos a vuestros datos” cuando el servicio claramente los aloja o procesa.
2. RGPD y contrato de encargado
Pregunta: Para datos personales, ¿actuáis como encargado del tratamiento? ¿Ofrecéis un acuerdo conforme al artículo 28 del RGPD?
Buena respuesta: DPA o anexo de encargado con instrucciones del cliente, confidencialidad, medidas de seguridad, asistencia en derechos, subencargados, devolución o supresión de datos y auditorías razonables.
Respuesta preocupante: una frase genérica de cumplimiento, sin contrato, o términos que permiten reutilizar datos del cliente para fines propios sin explicación clara.
El artículo 28 del RGPD exige contrato u otro acto jurídico entre responsable y encargado. Para una pyme española, conservar ese documento es parte de demostrar diligencia ante clientes, socios o una posible revisión.
3. Ubicación y transferencias
Pregunta: ¿En qué países se almacenan y procesan los datos? ¿Hay transferencias fuera del Espacio Económico Europeo?
Buena respuesta: regiones de hosting, países implicados, subprocesadores y mecanismos de transferencia cuando apliquen, como cláusulas contractuales tipo.
Respuesta preocupante: “en la nube” sin país, o cambios de ubicación y subencargados sin aviso.
4. Subencargados y cadena de suministro
Pregunta: ¿Qué terceros usáis para hosting, soporte, pagos, analítica, IA, email o monitorización? ¿Cómo notificáis cambios?
Buena respuesta: lista pública o compartida de subencargados, aviso de cambios y evaluación de proveedores críticos. CISA recuerda que el riesgo TIC incluye la cadena de suministro, no solo el proveedor principal.
Respuesta preocupante: ausencia de lista o herramientas de soporte con acceso amplio sin controles claros.
5. Accesos y autenticación
Pregunta: ¿Soportáis MFA, SSO, roles y mínimo privilegio? ¿Cómo accede vuestro personal a los datos del cliente?
Buena respuesta: MFA, SSO/SAML u OIDC cuando sea necesario, roles por permiso, registros de acceso administrativo y soporte con acceso limitado, justificado y revocable.
Respuesta preocupante: cuentas compartidas, sin MFA, o soporte que puede entrar a todo sin aprobación ni registro.
6. Cifrado y secretos
Pregunta: ¿Cifráis datos en tránsito y en reposo? ¿Cómo protegéis claves, tokens e integraciones?
Buena respuesta: TLS, cifrado en reposo, separación de entornos, gestión segura de secretos y rotación de credenciales.
Respuesta preocupante: “lo gestiona nuestro hosting” sin más detalle, o tokens visibles en texto claro.
7. Backups, continuidad y salida
Pregunta: ¿Qué backups existen, con qué frecuencia se prueban y cómo exportamos o borramos datos al terminar?
Buena respuesta: frecuencia, retención, pruebas de restauración, RPO/RTO orientativos, exportación en formatos razonables y borrado final.
Respuesta preocupante: backups no probados, exportación manual sin plazos o dependencia total de formatos propietarios.
8. Incidentes
Pregunta: ¿Cómo notificáis incidentes que afecten a nuestros datos? ¿Qué información incluirá el aviso?
Buena respuesta: canal de seguridad, plazos contractuales, descripción del incidente, datos afectados, medidas tomadas y acciones recomendadas.
Respuesta preocupante: “avisamos si lo vemos necesario” o ausencia de contacto de seguridad.
9. Evidencias y controles
Pregunta: ¿Qué evidencias podéis compartir: políticas, certificaciones, pentests, SOC 2, ISO 27001, CAIQ o mapeo con CSA Cloud Controls Matrix?
Buena respuesta: evidencia proporcional, bajo NDA si hace falta, con fecha, alcance y servicio cubierto. Para herramientas críticas, un marco como CSA Cloud Controls Matrix ayuda a comparar controles sin inventar una auditoría desde cero.
Respuesta preocupante: logotipos de seguridad sin informes, fechas ni alcance.
Resumen rápido
| Área | Pregunta clave | Buena señal | Señal de alarma |
|---|---|---|---|
| Datos | ¿Qué datos y cuánto tiempo? | Categorías y retención claras | Respuestas vagas |
| RGPD | ¿Hay DPA art. 28? | Anexo completo | “Cumplimos” sin contrato |
| Ubicación | ¿Dónde están los datos? | Países y regiones definidos | “En la nube” |
| Subencargados | ¿Quién más procesa? | Lista y aviso de cambios | Lista inexistente |
| Accesos | ¿MFA, SSO y roles? | Mínimo privilegio | Cuentas compartidas |
| Continuidad | ¿Backups y exportación? | Restauración probada | Sin salida clara |
| Incidentes | ¿Cómo notificáis? | Plazos y canal | Aviso discrecional |
Matiz legal en España
En España, el RGPD convive con la LOPDGDD y los criterios de la AEPD. Para autónomos y pymes, lo importante es dejar rastro de una decisión razonada: contrato, subencargados, medidas revisadas, riesgos aceptados y límites de uso.
El contexto de Verifactu, facturación electrónica, contabilidad cloud y firma digital aumenta la importancia de la continuidad. Si una herramienta toca facturas, justificantes o comunicaciones con valor contractual, revisa exportación, logs, soporte y reversibilidad antes de depender de ella.
Metodología y fuentes
Fuentes principales:
- RGPD, artículo 28: https://gdpr.eu/article-28-processor/
- CISA, seguridad de la cadena de suministro TIC: https://www.cisa.gov/topics/information-communications-technology-supply-chain-security
- CSA Cloud Controls Matrix v4: https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4
- ENISA, guía de seguridad cloud para pymes: https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes
Trade-offs
La seguridad tiene coste y fricción. Un equipo pequeño no debe exigir a todo proveedor lo mismo que a una plataforma bancaria, pero sí debe ser más estricto cuando el SaaS es crítico o trata datos sensibles.
- Riesgo alto: DPA, subencargados, MFA/SSO, backups, salida, incidentes y evidencia independiente.
- Riesgo medio: datos, ubicación, accesos, exportación y borrado.
- Riesgo bajo: limita la información cargada y documenta por qué el impacto es reducido.
Algunas funciones, como SSO o logs avanzados, viven en planes superiores. Si la herramienta será crítica, ese coste forma parte del precio real de seguridad.
FAQ
¿Debo enviar este cuestionario a todos los proveedores?
No. Úsalo completo para SaaS con datos personales, integraciones críticas o dependencia operativa. Para herramientas menores, aplica una versión reducida.
¿Qué hago si el proveedor no responde?
Si el riesgo es alto, busca alternativa o limita el uso. Si el riesgo es bajo, documenta la decisión y evita subir datos sensibles.
¿Una certificación ISO 27001 o SOC 2 basta?
Ayuda, pero revisa alcance, fecha, entidad, servicio cubierto y controles incluidos. Un logo sin informe no prueba mucho.
¿El DPA garantiza cumplimiento RGPD?
No. Es una pieza necesaria cuando hay encargado, pero también cuentan medidas reales, subencargados, transferencias y gestión de incidentes.
¿Quién debería revisar las respuestas?
La persona que compra, alguien de IT u operaciones y, si hay datos personales relevantes, asesoría legal, DPO o consultor de protección de datos.
Sugerencias de enlaces internos
- Guía de evaluación de proveedores SaaS para equipos pequeños.
- Checklist RGPD antes de activar una herramienta cloud.
- Plantilla de matriz de riesgos para compras de software.
- Cómo revisar subprocesadores y transferencias internacionales en SaaS.