Una unidad de negocio quiere enviar datos personales de clientes a un nuevo proveedor SaaS la semana que viene. ¿Qué exige primero el arquitecto?
Respuesta breve
Enviar datos personales a un tercero extiende tu frontera de confianza, así que primero realiza una evaluación de seguridad del proveedor — tratamiento de datos, cifrado, controles de acceso, certificaciones como SOC 2 / ISO 27001, subencargados, condiciones de notificación de brechas — y firma un acuerdo de tratamiento de datos (DPA) antes de cualquier transferencia. Un contrato de precio o la palabra verbal de un comercial no es diligencia debida. Y un «sitio web pulido» no dice nada sobre cómo protege realmente los datos el proveedor; tú sigues siendo responsable.
Entregar datos personales de clientes a un nuevo proveedor SaaS es una decisión de riesgo de terceros, no una formalidad de compras. En el momento en que los datos salen de tu frontera, la postura de seguridad del proveedor pasa a formar parte de la tuya — pero la responsabilidad sobre esos datos sigue siendo tuya. La tarea del arquitecto es insertar la diligencia debida antes de la transferencia, no después.
Qué debe cubrir la evaluación
Una evaluación de seguridad real del proveedor pregunta, de forma concreta:
- Tratamiento y residencia de los datos. ¿Dónde se almacenan y procesan los datos personales? ¿Quién puede acceder a ellos?
- Cifrado en tránsito y en reposo, y cómo se gestionan las claves.
- Controles de acceso — MFA, mínimo privilegio, separación de administradores, registro.
- Garantía independiente — SOC 2 Tipo II vigente, ISO 27001 o equivalente, revisado (no solo declarado).
- Subencargados — quién más toca los datos aguas abajo, y bajo qué condiciones.
- Notificación de brechas — con qué rapidez y por qué canal te avisarán.
Después, un acuerdo de tratamiento de datos (DPA) codifica estas obligaciones por contrato — finalidad del tratamiento, medidas de seguridad, control de subencargados, plazos de notificación y borrado a la salida — antes de enviar un solo registro. Bajo normativas como el RGPD esto no es opcional.
Por qué las respuestas incorrectas lo son
«Nada — el proveedor tiene un sitio web pulido» confunde el barniz de marketing con la madurez de seguridad; una interfaz elegante no dice nada sobre cómo se protegen los datos detrás. «Solo un contrato firmado sobre el precio» aborda lo comercial, no la seguridad ni la protección de datos — has acordado cuánto pagar, no cómo se salvaguardan los datos de tus clientes. «Una garantía verbal del comercial» es inverificable, no vinculante, y exactamente lo que un comercial tiene incentivos para dar, al margen de la realidad.
Qué evalúa el entrevistador
Quiere madurez de gobernanza: el instinto de tratar a los proveedores como una extensión de tu superficie de ataque, el conocimiento de las pruebas concretas que exigir (certificaciones, DPA, condiciones de brecha) y la disciplina de bloquear la transferencia hasta completar la diligencia. Una buena respuesta lo enlaza con la responsabilidad — reguladores y clientes te consideran responsable de los datos personales, incluso cuando es un tercero quien los pierde.
Posibles preguntas de seguimiento
- ¿Cuál es la diferencia entre un informe SOC 2 Tipo I y Tipo II, y cuál quieres?
- ¿Qué debe especificar un acuerdo de tratamiento de datos bajo normativas como el RGPD?
- ¿Cómo gestionas los subencargados del proveedor y el riesgo que introducen?