Due Diligence al seleccionar proveedores

1) Por qué se necesita Due Diligence proveedores

• Identificar el riesgo inherente por producto/país/datos.
• Comprobar el cumplimiento y la seguridad antes de la celebración del contrato.
• Fijar SLA/SLO y derechos de auditoría durante la fase de contrato.
• Configurar la supervisión y el plan de salida (offboarding) manteniendo la integridad de los datos.

2) Cuándo se lleva a cabo y qué cubre

Puntos: preselección, lista corta, antes del contrato, con cambios significativos, revisión anual.
Cobertura: estatus legal, sostenibilidad financiera, seguridad, privacidad, tecnicidad, operación/soporte, cumplimiento (GDPR/PCI/AML/SOC 2, etc.), geografía y riesgos sancionadores, ESG/ética, subcontratistas.

3) Roles y RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Mapa de criterios de evaluación (que verificamos)

4. 1 Perfil legal y corporativo

Registro, beneficiarios (KYB), disputas legales, listas de sanciones.
Licencias/certificados para servicios regulados.

4. 2 Finanzas y sostenibilidad

Informes auditados, carga de deuda, inversores/bancos clave.
Dependencia de un solo cliente/región, plan de continuidad (BCP).

4. 3 Seguridad y privacidad

ISMS (políticas, RACI), resultados de pruebas externas, gestión de vulnerabilidades.
Encriptación de Tránsito En/En, KMS/HSM, administración de secretos.
DLP/EDRM, registro, Legal Hold, retén y eliminación.
Gestión de incidentes: notificaciones SLA, playbucks, post mortem.

4. 4 Cumplimiento y certificación

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (tiempo y volumen).
GDPR/normas locales: roles (controller/processor), DPA, SCC/BCR, DPIA.
AML/circuito sancionador (si corresponde).

4. 5 Madurez técnica e integración

Arquitectura (multiotenancia, aislamiento, SLO, DR/HA, RTO/RPO).
API/SDK, versioning, rate limits, observability (logs/métricas/tracks).
Gestión de cambios, lanzamientos (azul-verde/canario), compatibilidad con versiones anteriores.

4. 6 Operaciones y soporte

24 × 7/Follow-the-sun, tiempo de reacción/recuperación, oncoles.
Procedimientos de onboarding/offboarding, exportación de datos sin penalización.

4. 7 Subprocesadores y cadena de suministro

Lista de subcontratistas, jurisdicción, control y notificación de cambios.

4. 8 Ética/ESG

Políticas contra la corrupción, código de conducta, prácticas laborales, rendición de cuentas.

5) Proceso de Due Diligence (SOP)

1. Iniciación: tarjeta de necesidad (objetivos, datos, jurisdicciones, criticidad).
2. Calificación: cuestionario corto (pre-pantalla) + cheque de sanción/licencia.
3. Evaluación profunda: cuestionario, artefactos (políticas, informes, certificados), entrevistas.
4. Verificación técnica: revisión de seguridad, demostración de entorno, lectura de registros/métricas, PoC.
5. Puntuación y riesgos: riesgo inherente → perfil de control → riesgo residual.
6. Remediación: términos y condiciones/correcciones anteriores al contrato (lista gap con los deadline).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Onboarding: accesos/SSO, catálogos de datos, integraciones, plan de monitoreo.
9. Monitoreo continuo: revisiones/desencadenantes anuales (incidente, cambio de subprocesador).
10. Offboarding: exportación, eliminación/anonimización, revocación de accesos, confirmación de destrucción.

6) Cuestionario del proveedor (núcleo de preguntas)

Ur. persona, beneficiarios, controles sancionadores, disputas de 3 años.
Certificaciones (SOC 2 tipo/período, ISO, PCI), últimos informes/scope.
Políticas de seguridad, inventario de datos, clasificación, DLP/EDRM.
Aislamiento técnico: tenant-isolation, políticas de red, cifrado, claves.
Registros y auditorías: almacenamiento, acceso, WORM/immutabilidad, SIEM/SOAR.
Incidentes en 24 meses: tipos, impacto, lecciones.
Retén/Eliminación/Flujo Legal Hold/DSAR.
Subprocesadores: lista, países, funciones, garantías contractuales.
DR/BCP: RTO/RPO, resultados de las últimas pruebas.
Soporte/SLA: tiempos de reacción/decisión, escaladas, esquema de crédito.
Plan de salida: exportación de datos, formatos, valor.

7) Modelo de puntuación (ejemplo)

Ejes: Derecho/Finanzas/Seguridad/Privacidad/Técnica/Operaciones/Cumplimiento/Cadena/ESG.
Puntos 1-5 para cada eje; ponderaciones sobre la criticidad del servicio y el tipo de datos.

• 'RR = Σ (peso _ i × puntuación _ i)' → categorías: Bajo/Medio/Alto/Crítico.

High/Critical: la remediación previa al contrato es obligatoria, las condiciones de SLA reforzadas y el monitoreo.
Bajo/Medio: requisitos estándar + revisión anual.

8) Disposiciones vinculantes del tratado (must-have)

DPA: roles (controller/processor), objetivo, categorías de datos, retén y eliminación, Legal Hold, asistencia DSAR.
SCC/BCR para transferencias transfronterizas (si procede).
Security Appendix: cifrado, registros, vulnerabilidades/patching, pentests, divulgación de vulnerabilidades.
SLA/SLO: tiempo de reacción/eliminación (niveles sev), créditos/multas, disponibilidad, RTO/RPO.
Derechos de auditoría: derecho de auditoría/cuestionario/prueba; notificaciones de cambios en los controles/subprocesadores.
Breach Notification: plazos de notificación (por ejemplo, ≤ 24-72 h), formato, cooperación en la investigación.
Subprocessor Clause: lista, cambio por notificación/acuerdo, responsabilidad.
Exit & Data Return/Deletion: formato de exportación, plazos, confirmación de destrucción, soporte de migración.
Liability/Indemnity: límites/excepciones (fugas de PI, infracción de licencias, multas regulatorias).
IP/License: derechos de desarrollo/configuración/datos/metadatos.

9) Monitoreo y desencadenantes de revisión

Caducidad/actualización de certificados (SOC/ISO/PCI), cambios en el estado del informe.
Cambio de subprocesadores/ubicaciones de almacenamiento/jurisdicciones.
Incidentes de seguridad/interrupciones significativas del SLA.
Fusiones/adquisiciones, deterioro de los resultados financieros.
Lanzamientos que afectan al aislamiento/cifrado/acceso.
Consultas regulatorias, auditorías Findings.

10) Métricas y dashboards Vendor Risk Mgmt

Coverage DD:% de los proveedores críticos que han pasado por un DD completo.
Time-to-Onboard: mediana desde la solicitud hasta el contrato (por categoría de riesgo).
Open Gaps: remediaciones activas por proveedores (plazos/propietarios).
SLA Breach Rate: proporción de violaciones de SLA en tiempo/disponibilidad.
Tasa de incidencia: incidentes/12 meses por proveedor y gravedad.
Audit Evidence Readiness: disponibilidad de informes/certificados actualizados.
Subprocessor Drift: cambios sin previo aviso (el objetivo es 0).

11) Categorías y niveles de verificación

12) Hojas de cheques

Inicio de DD

• Tarjeta de necesidades y servicio de clase de riesgo.
• Pre-pantalla: sanciones, licencias, perfil básico.
• Cuestionario + artefactos (políticas, informes, certificados).
• Revisión de seguridad/privacidad + PoC en integraciones.
• Lista Gap con deduplines y propietarios.
• Contrato: DPA/SLA/audit rights/liability/exit.
• Plan de onboarding y monitoreo (métricas, alertas).

Revisión anual

• Certificados e informes actualizados.
• la Comprobación de los subprocesadores/emplazamientos/jurisdicciones.
• Estado de las remedias, nuevos riesgos/incidentes.
• Pruebas de RD/BCP y resultados.
• Auditoría Dry-run: recopilar evidence «por botón».

13) Banderas rojas (flags rojos)

Negativa a proporcionar SOC/ISO/PCI o secciones esenciales de los informes.
Respuestas borrosas sobre cifrado/logs/eliminación de datos.
No hay planes DR/BCP o no se están probando.
Incidentes cerrados sin post-mortem y lecciones.
Transferencia ilimitada de datos a subprocesadores/en el extranjero sin garantías.
Restricciones agresivas de responsabilidad por fugas de PI.

14) Antipattern

DD «de papel» sin PoC y control técnico.
Lista de verificación universal sin tener en cuenta el riesgo/jurisdicciones.
Contrato sin DPA/SLA/derecho de auditoría y plan de salida.
No hay registro de proveedores y monitoreo de cambios.
Accesos/tokens emitidos «para siempre» sin rotaciones ni re-certificaciones.

15) Artículos relacionados wiki

Automatización del cumplimiento y los informes

Monitoreo continuo de cumplimiento (CCM)

Legal Hold y congelación de datos

Ciclo de vida de políticas y procedimientos

KYC/KYB y cribado de sanciones

Gráficos de almacenamiento y eliminación de datos

Plan de continuidad (BCP) y DRP

Resultado

La Due Diligence orientada al riesgo no es una «marca de verificación», sino un proceso administrado: categorización correcta, validación profunda por ejes clave, garantías contractuales claras y monitoreo continuo. Así que los proveedores se convierten en una parte confiable de su cadena, y usted - previsiblemente cumple con los requisitos sin frenar el negocio.