Checklist de seguridad SaaS 2026 — 52 puntos para la evaluación de proveedores enterprise

Autenticación y control de acceso

8 puntos

Autenticación multifactor (MFA) obligatoria para todas las cuentas de administrador y privilegiadas
Política de contraseñas: mínimo 12 caracteres, complejidad requerida, verificación contra listas de filtraciones
Expiración de sesión: las sesiones inactivas expiran tras ≤ 30 minutos
Bloqueo de cuenta tras 5 intentos fallidos de inicio de sesión con retardos progresivos
Control de acceso basado en roles (RBAC) implementado y documentado
Principio de mínimo privilegio aplicado a todas las cuentas de servicio
Integración OAuth / SSO probada contra fugas de tokens y validación de URIs de redirección
Claves API rotadas al menos anualmente, nunca incluidas en el control de versiones

7 puntos

Todos los datos cifrados en reposo (AES-256 o equivalente)
Todos los datos cifrados en tránsito (TLS 1.2+ obligatorio, TLS 1.0/1.1 desactivados)
Validez y renovación de certificados SSL/TLS supervisados
Credenciales de base de datos almacenadas en un gestor de secretos (no en archivos env ni en el código)
Copias de seguridad cifradas y con acceso controlado
Datos personales clasificados y accesos registrados
Residencia de datos documentada (UE/EE.UU./otro — relevante para RGPD)

10 puntos

7 puntos

Autenticación API requerida en todos los endpoints no públicos
Limitación de tasa (rate limiting) implementada contra fuerza bruta y DoS
Versionado de API en uso; las versiones obsoletas tienen fechas de fin de vida
Las respuestas de API no exponen IDs internos, trazas de pila ni información de depuración
Introspección GraphQL desactivada en producción
Firmas de webhooks verificadas antes del procesamiento
La documentación de la API no contiene credenciales ni ejemplos sensibles

8 puntos

Cuentas cloud protegidas con MFA para usuarios root/admin
Acceso a la infraestructura limitado por lista blanca de IPs o VPN
Entorno de producción aislado de desarrollo y staging
Grupos de seguridad / reglas de firewall: solo puertos necesarios abiertos (sin 0.0.0.0/0 en puertos sensibles)
Imágenes de contenedores escaneadas en busca de vulnerabilidades antes del despliegue
RBAC de Kubernetes configurado; los pods no se ejecutan como root por defecto
Logs de auditoría cloud (CloudTrail / GCP Audit Logs) activados y retenidos ≥ 90 días
WAF (Web Application Firewall) activo en los endpoints públicos

6 puntos

Plan de respuesta a incidentes de seguridad documentado y probado
Procedimiento de notificación de brechas conforme a la regla de 72 horas del RGPD
Logs de aplicación centralizados con protección contra manipulación
Alertas de detección de anomalías configuradas (intentos de inicio de sesión fallidos, exportaciones de datos inusuales)
SLA de disponibilidad definido y monitorizado
Página de contacto de seguridad y política de divulgación responsable publicadas

7 puntos

Política de privacidad publicada y conforme al RGPD (base legal documentada)
Modelo de acuerdo de encargo de tratamiento (DPA) disponible para clientes enterprise
Lista de subencargados mantenida y comunicada bajo solicitud
Formación de seguridad para empleados realizada anualmente
Política de seguridad documentada y accesible para el equipo
Test de penetración o auditoría de seguridad automatizada realizada en los últimos 12 meses
Proceso de gestión de vulnerabilidades (CVE) documentado (SLA por gravedad)