Cumplimiento global de SaaS: Una lista completa de auditoría

Lo bueno de las empresas que venden SaaS online es que pueden globalizarse desde el principio. Cualquier persona con conexión a Internet puede convertirse en cliente, así que cualquier país puede ser un mercado potencial para tus productos.

El sector SaaS está lleno de oportunidades. Pero también es un entorno enorme y complejo.

Cuando COVID-19 trasladó gran parte de nuestras vidas a Internet, no tardaron en aparecer nuevas normativas mundiales sobre datos. Más de 132 países han promulgado ya sus propias leyes y normativas. 

¿Está al día de las últimas políticas? Repase nuestra lista de comprobación de auditorías de SaaS para iniciar el camino hacia una empresa que cumpla las normas de privacidad.

¿Qué hace falta para que su empresa de SaaS cumpla la normativa?

Conformidad" significa que su empresa o producto cumple la normativa de una organización certificadora, que depende del lugar donde usted y su cliente tengan su sede. 

Ser una empresa global que respeta la privacidad de los datos puede ser relativamente sencillo en un contexto local. Pero si su alcance es más amplio, las cosas se complican. Por ejemplo, si opera en varios mercados, podría tener que cumplir muchos conjuntos diferentes de leyes, políticas y normativas en función de su ubicación y la de sus clientes. 

En el sector SaaS, la privacidad global de los datos implica la forma en que su empresa se relaciona con los clientes actuales y potenciales y sus datos, es decir, cómo gestiona su información confidencial y mantiene sus derechos de privacidad.

¿Por qué es importante el cumplimiento?

El panorama mundial actual

Cada día, millones de clientes comparten sus datos personales con empresas de todo el mundo. Esto es vital para la mayoría de las aplicaciones y empresas SaaS, ya que la información debe capturarse para las suscripciones y los servicios de cuentas.

Sin embargo, la captura de estos datos supone una gran responsabilidad para las empresas. Las organizaciones actuales deben garantizar que los datos personales de sus clientes se almacenan y manejan de forma segura y que mantienen los niveles adecuados de privacidad. No hacerlo puede hacer que la información sea vulnerable a brechas de seguridad y hackeos. También puede acarrear problemas legales y la falta de confianza de los clientes.

La posibilidad de financiar una startup SaaS

A medida que Covid ha ido asaltando el mundo, demostrando que la seguridad es un concepto inventado, la financiación de startups de SaaS se ha convertido más en un plan de supervivencia. Capitalizar los procesos existentes es posible siempre que se haya conseguido crear una infraestructura de ingresos. Esta idea está estrechamente relacionada con el cumplimiento, ya que no hay flujos de ingresos estables sin un cumplimiento total. Por lo tanto, para asegurarse la posibilidad de financiación de SaaS, los desarrolladores deben acatar todas las normas y reglamentos de cumplimiento, locales y mundiales, en caso de que deseen expandirse al extranjero.

Expectativas de los clientes

Cuando se trata de la privacidad de los datos, los consumidores de hoy quieren que su información personal esté segura. Los clientes reclaman cada vez más una mayor seguridad de los datos, como demuestra una encuesta de Cisco de 2019 que indica que el 32 % de los encuestados se preocupa profundamente por la privacidad. Además, los clientes están dispuestos a actuar cuando están insatisfechos y a menudo lo hacen cambiando de proveedor.

Muchos gobiernos están respondiendo con políticas, leyes y normativas más estrictas, por lo que las aplicaciones SaaS están sometidas a una gran presión para garantizar que cumplen los requisitos pertinentes.

Los riesgos del incumplimiento

El incumplimiento de las leyes y normativas sobre privacidad y datos podría costarle caro a su solución SaaS. El incumplimiento de las políticas y normativas de privacidad de países o sectores específicos puede acarrear:

Multas cuantiosas

Demandas judiciales

Encarcelamiento

En algunos casos, el incumplimiento de las políticas de privacidad y de la normativa sobre datos puede dar lugar a la prohibición del uso de su producto o del funcionamiento de su empresa en determinadas zonas, jurisdicciones o países.

Incumplimiento: Un estudio de caso

Un ejemplo útil de una empresa global que se enfrenta a litigios por incumplimiento es TikTok.

Esta popular plataforma para compartir vídeos es propiedad de la empresa china ByteDance y cuenta con más de 800 millones de usuarios en todo el mundo. En 2020, Estados Unidos calificó a TikTok de amenaza para la seguridad nacional ante la preocupación de que los datos de los usuarios no estuvieran seguros.

El asunto llevado a los tribunales fue la recopilación de datos de menores sin el consentimiento paterno. Estos datos incluían números de teléfono, vídeos, ubicaciones exactas y datos biométricos.

En la demanda colectiva original se afirmaba que TikTok no obtuvo el consentimiento de los usuarios ni les notificó la recopilación de sus datos biométricos. También alegaba que TikTok compartió los datos y se benefició de ellos. 

La demanda se presentó en nombre de todos los usuarios menores de edad, tuvieran o no cuentas activas. En abril de 2021, TikTok solicitó un acuerdo de 92 millones de dólares (pero aún no se ha aprobado).

Aunque TikTok no es una empresa SaaS, su alcance global y la recopilación de datos personales son paralelos a los de cualquier solución SaaS. De este caso se desprende claramente que los problemas de privacidad de los datos pueden tener costosas consecuencias.

5 pasos para el cumplimiento empresarial: Lista de comprobación de auditoría SaaS

1. Infórmese sobre los distintos reglamentos

Es fundamental estar al día de las últimas normativas sobre privacidad de datos para cumplirlas o seguir cumpliéndolas. Esto es especialmente importante si quieres expandir tu negocio a otros países o regiones o dentro de un sector específico, ya que las normativas pueden diferir mucho.

Hemos incluido algunas de las más comunes y conocidas para que las vea más de cerca, pero esto es sólo una pequeña selección de las normativas sobre privacidad de datos de todo el mundo que pueden afectar a su empresa.

Ejemplos de reglamentos y normas importantes para el cumplimiento de SaaS

Control organizativo de servicios 2 (SOC 2)

Service Organizational Control 2 es un proceso de auditoría basado en los "Criterios de Servicios de Confianza" del Instituto Americano de Contables Públicos Certificados (AICPA). Las empresas pueden utilizarlo para comprobar si sus sistemas de información cumplen los principios SOC 2.

SOC 2 está diseñado específicamente para organizaciones que almacenan datos de clientes en la nube. Por tanto, es aplicable a casi todas las aplicaciones SaaS y es uno de los marcos de cumplimiento más comunes. Para cumplir la norma SOC 2, su empresa tendrá que establecer y seguir estrictas políticas de datos. Éstas cubren la seguridad, disponibilidad, integridad de procesamiento y confidencialidad de cualquier dato almacenado en la nube.

Reglamento General de Protección de Datos de la UE (RGPD)

El Reglamento General de Protección de Datos es una legislación exhaustiva de la Unión Europea que proporciona derechos de datos a las personas y aumenta las responsabilidades de cumplimiento para las organizaciones y empresas. El RGPD impide que las empresas se extralimiten y ofrece a los ciudadanos la garantía de que las empresas manejan sus datos correctamente. La función principal del RGPD es dar a los ciudadanos más control sobre sus datos. También da a los reguladores más poder para multar a las organizaciones que incumplan esta ley.

En virtud del RGPD, los ciudadanos de la UE pueden acceder a sus datos, corregir errores, borrar sus datos, oponerse al tratamiento de sus datos y exportar sus datos. A la inversa, el RGPD exige a las empresas que faciliten información sobre la finalidad, la naturaleza y la duración del almacenamiento de los datos.

Las empresas que operan dentro de las directrices del GDPR también deben informar a sus clientes si se produce una violación de la seguridad tan pronto como tengan conocimiento de ella. Deben existir medidas de protección para evitar estas violaciones y, de no ser así, la empresa puede enfrentarse a multas cuantiosas.

Incluso si su empresa de software como servicio tiene su sede en EE.UU. o en otro país, sigue siendo vital comprender el GDPR, ya que puede tener cierto alcance en países europeos o con clientes europeos.

Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS)

Lanzada en 2006, la Norma de Seguridad de Datos del Sector de Tarjetas de Pago es un conjunto de requisitos destinados a garantizar que todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro. La norma se creó para aumentar los controles en torno a los datos de los titulares de tarjetas y reducir el fraude con tarjetas de crédito mediante la introducción de estrictas normas de seguridad y la mejora de la seguridad de las cuentas en todo el proceso de transacción. 

El PCI DSS está administrado y gestionado por el PCI SSC (Security Standards Council), un organismo independiente formado por Visa, Mastercard, American Express, Discover y JCB. PCI DSS se aplica a cualquier organización que acepte, almacene o transfiera información de titulares de tarjetas, independientemente de su tamaño o del número de transacciones que gestione.

Aunque existen 12 condiciones claras para obtener la DSS de la PCI, cada una de ellas viene acompañada de muchos subrequisitos específicos. El cumplimiento también exige adoptar y adherirse a una política específica de seguridad de la información, lo que lo hace increíblemente difícil de obtener.  Existen cuatro niveles diferentes de cumplimiento de la norma PCI, cada uno de los cuales se asigna a una empresa en función del número de transacciones que procesa anualmente.

Ley de Privacidad del Consumidor de California (CCPA)

La Ley de Privacidad del Consumidor de California de 2018 proporciona a los consumidores californianos mayores derechos de privacidad y protección al consumidor. Los reglamentos de la CCPA proporcionan orientación sobre la aplicación de los derechos de la ley de privacidad para los consumidores de California y dan un mayor control sobre qué información recopilan las empresas sobre ellos y cómo se utilizan y almacenan. 

También otorga a los consumidores el derecho a borrar la información personal que se recoja sobre ellos, el derecho a optar por que no se venda su información personal, el derecho a la no discriminación por ejercer estos derechos y el derecho a recibir avisos que expliquen sus políticas de privacidad.

Organización Internacional de Normalización (ISO)

La Organización Internacional de Normalización elabora normas a través de los comités ISO. También colabora con la Comisión Electrotécnica Internacional (CEI) en asuntos de normalización electrotécnica y proporciona criterios para los Sistemas de Gestión de la Seguridad de la Información (SGSI). Estos sistemas examinan los riesgos de la información y ayudan a las empresas a identificarlos y gestionarlos.

ISO/IEC no es una normativa como tal, sino un conjunto de normas que puede utilizar para gestionar el cumplimiento de sus riesgos de seguridad. Puede utilizarla como punto de partida de una evaluación formal para obtener la acreditación oficial de auditores certificados. Para ello es necesario presentar una política de seguridad de la información, un proceso de evaluación de riesgos y pruebas de supervisión de la seguridad.

Las empresas de SaaS pueden utilizar la norma ISO/IEC. Es más, puede aplicarse a cualquier sector, tamaño y mercado.

Normativa específica del sector en EE.UU.

Además de los reglamentos y normas más generales o comunes mencionados anteriormente, tendrá que familiarizarse con todas las demás normas específicas que se aplican a sus aplicaciones SaaS en cualquier país en el que opere. En EE.UU., por ejemplo, puede que tenga que tener en cuenta lo siguiente:

1. 1. • Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios
      • Normativa de Nueva York sobre ciberseguridad
      • Consejo Federal de Examen de las Instituciones Financieras

2. La ley y el tratamiento de datos

Las empresas de SaaS deben cumplir la ley en lo que respecta al tratamiento de los datos de sus clientes, o de lo contrario corren el riesgo de ser demandadas. Debe tener muy claro por qué procesa su información y para qué la utiliza. Veamos esto con un poco más de detalle como parte de su lista de comprobación de auditoría SaaS.

Evaluaciones de impacto de la protección de datos

Es esencial realizar una evaluación del impacto de la protección de datos. Esta evaluación debe incluir los tipos de datos que trata, la finalidad de ese tratamiento, quién tiene acceso a ellos en la organización y fuera de ella, cómo piensa proteger la información de sus usuarios y cuándo piensa borrarla. La Information Commissioners Office (ICO) proporciona toda la información necesaria para crear su propia DIPA, incluida una plantilla de muestra.

Justificaciones legales e información para las políticas de privacidad

A continuación, piense detenidamente por qué procesa los datos e informe a sus clientes de sus motivos. Esta comunicación debe explicar cómo se procesan los datos de los clientes, quién tiene acceso a ellos y cómo se protegen. Exponga todo de forma clara y sencilla en su política de privacidad.

3. Seguridad de los datos

Políticas de protección de datos

Los proveedores de SaaS deben ser explícitos sobre la seguridad de los datos en todo momento. Incluya los dos factores siguientes para asegurarse de que sigue cumpliendo la normativa:

1. 1. • Protección de datos desde el diseño
        Esto significa que debe tener en cuenta la privacidad y la seguridad de los datos en la fase de diseño de cualquier nuevo sistema, servicio, proceso o producto. Debe mantener la seguridad durante todo el ciclo de vida.
        
        
      • Protección de datos por defecto
        Esto significa que sólo procesa los datos necesarios para lograr un propósito específico. Especifique en qué consiste e informe a sus clientes antes de iniciar el proceso.
        

Políticas internas de seguridad

También es importante crear una política de seguridad interna para los miembros de tu equipo. Asegúrate de que todos conocen los procesos y prioridades de tu empresa en materia de privacidad y seguridad de los datos.

Filtraciones de datos

Además, debe disponer de un proceso que establezca cómo gestionar cualquier violación de datos (o violaciones potenciales). Este proceso debe cubrir cómo se notificará a las autoridades y a los interesados, y todas las notificaciones deben hacerse por escrito.

4. Rendición de cuentas y gobernanza

Hay algunas cosas más a tener en cuenta como parte de su lista de comprobación de auditoría SaaS:

Director de Cumplimiento Normativo

Todas las empresas de SaaS deberían nombrar a un Director de Cumplimiento interno. Esta persona tendrá el poder y la responsabilidad de evaluar los procesos y establecer políticas para proteger los datos de los clientes. También será responsable de mantenerse al día de los cambios en las leyes y normativas.

Acuerdos de tratamiento de datos

A continuación, identifique a los terceros que manejan los datos personales de sus clientes. Puede tratarse de servicios de correo electrónico, servidores en la nube o software de análisis. Firme un acuerdo de tratamiento de datos con cada uno de ellos. La mayoría de estos servicios ya deberían disponer de un documento estándar. Utilice únicamente servicios de terceros que cumplan estrictas normas industriales y regionales.

Responsables de protección de datos

Asegúrese de que se nombra a un responsable de protección de datos. El RGPD establece que un responsable se ocupe de todas las cuestiones relacionadas con la protección de datos personales. Esta persona tendrá una amplia gama de responsabilidades diferentes. Estará a salvo de interferencias de la organización e informará al más alto nivel de dirección. Esta persona debe tener los conocimientos jurídicos y técnicos necesarios para comprender y aplicar evaluaciones y políticas de privacidad.

5. Derecho a la intimidad

Conocer los derechos de privacidad de sus clientes es otro paso esencial para completar su lista de comprobación de auditoría de SaaS.

Procedimientos para proteger la intimidad de los usuarios

Asegúrese de que sus procedimientos se centran en el cliente. Asegúrate siempre de que tus clientes se sientan cómodos con la seguridad con la que almacenas su información y alivia cualquier preocupación siendo transparente sobre su uso.

Acceso de los clientes a la información sobre sus datos personales

Sus clientes deben poder saber qué información personal tienen sobre ellos usted o terceros con los que trabaje. Deben poder rectificar los datos incorrectos y solicitar su supresión.

Los clientes también necesitan saber durante cuánto tiempo se va a almacenar su información y por qué se guarda durante ese tiempo. Esta información debe ser de libre acceso, al menos la primera vez que se solicite. Es más, la información debe estar disponible en el plazo de un mes desde la solicitud del cliente.

Consejos para el cumplimiento de SaaS

Garantizar la colaboración entre los equipos de cumplimiento y TI

Su departamento o responsable de cumplimiento deberá colaborar estrechamente con su equipo informático. También es una buena idea organizar la formación del personal a través de su departamento de RRHH. Si lo hace correctamente, la formación le ayudará a seguir cumpliendo la normativa.

Establecer un código de conducta

Establezca un código de conducta para su programa de cumplimiento específico a fin de definir claramente su propósito. Este código garantizará que el comportamiento de su equipo se alinee con el programa y sus políticas de privacidad relacionadas.

Siga los puntos de referencia del CIS 

Asegúrese de que su infraestructura de datos sigue los criterios de referencia del Centro de Seguridad de Internet (CIS). Se trata de un conjunto de directrices para protegerse de posibles ciberamenazas.

Supervisar los cambios normativos

Manténgase al día de cualquier cambio en la normativa y de las nuevas leyes promulgadas en la jurisdicción de su empresa. La privacidad de los datos se valora ahora más que nunca, y los gobiernos están endureciendo los controles en torno al tratamiento de datos. Que no le pille desprevenido.