SaaS / Plataforma en la nube
¿Procesa datos de terceros? Eso lo cambia todo.
Las plataformas SaaS son encargados del tratamiento conforme al RGPD y posibles entidades esenciales/importantes conforme a la NIS2. Necesita acuerdos de tratamiento, respuesta a incidentes y, posiblemente, cumplimiento sectorial.
Verificación de la realidad
Si su mayor cliente le pidiera hoy su informe SOC 2 y su acuerdo de tratamiento de datos, ¿podría entregarlo?
GDPR (General Data Protection Regulation)
mandatory Art. 28, Art. 30(2), Art. 32, Art. 33(2)Sus obligaciones
- Acuerdo de procesamiento de datos (Art. 28) para cada cliente
- Gestión y notificación de subencargados del tratamiento
- Notificación de brechas de datos al responsable sin demora indebida
- Medidas técnicas y organizativas documentadas (Art. 32)
- Evaluación de impacto en la protección de datos si el tratamiento es de alto riesgo
- Registro de actividades de tratamiento como encargado (art. 30.2)
SiteGuardian monitoriza esto
- Monitorización de cifrado TLS/HTTPS
- Detección de consentimiento de cookies (Playwright)
- Análisis de cabeceras de seguridad
- Verificación del cifrado de transporte de correo
- Seguimiento del SLA de notificación de brechas (72 h)
- Firma digital del DPA/AVV
Riesgo si se ignora
Pérdida de clientes empresariales que exigen acuerdos de tratamiento. Responsabilidad solidaria con los responsables. Multas de hasta el 4 % de la facturación.
NIS2 Directive (Cybersecurity)
mandatory Art. 21, Art. 23Sus obligaciones
- Los proveedores de computación en la nube son entidades esenciales
- Medidas de gestión de riesgos (art. 21) obligatorias
- Reporte de incidentes: alerta temprana 24 h, notificación 72 h
- Seguridad de la cadena de suministro para dependencias
- Responsabilidad del órgano de dirección
SiteGuardian monitoriza esto
- SLA de notificación de incidentes 24 h/72 h/1 mes
- Monitorización de DNSSEC y seguridad DNS
- Cabeceras de seguridad y aplicación de TLS
- Monitorización de disponibilidad y uptime
- Puntuación de riesgo de la cadena de suministro
- Clasificación automática de incidentes (NIS2 Art. 23)
Riesgo si se ignora
Los proveedores de nube/SaaS están explícitamente en el ámbito de la NIS2. Multas de hasta 10 millones de euros. Responsabilidad personal de la dirección.
Cyber Resilience Act (CRA)
conditional Art. 10, Art. 11, Art. 13Sus obligaciones
- Seguridad desde el diseño para productos con elementos digitales
- Obligaciones de gestión y divulgación de vulnerabilidades
- Actualizaciones de seguridad durante la vida útil prevista del producto
- Provisión de la lista de materiales de software (SBOM)
SiteGuardian monitoriza esto
- Monitorización de versión TLS y cipher suites
- Verificación de aplicación de cabeceras de seguridad
- Validación de la cadena de certificados y caducidad
Riesgo si se ignora
Productos prohibidos en el mercado de la UE. Multas de hasta 15 millones de euros o el 2,5 % de la facturación global.
European Accessibility Act (EAA)
mandatory Art. 4, Art. 13, Art. 31Sus obligaciones
- WCAG 2.2 AA para todas las interfaces de usuario
- Documentación e incorporación accesibles
- Métodos de acceso alternativos para usuarios con discapacidad
SiteGuardian monitoriza esto
- Auditoría de conformidad WCAG 2.2 Nivel AA
- Puntuación automatizada de accesibilidad
- Desglose por gravedad y sugerencias de corrección
- Escaneos diarios de accesibilidad
Riesgo si se ignora
El SaaS B2B utilizado por empleados está cubierto por la EAA. La contratación pública exige accesibilidad.
¿Le aplica a usted?
Si responde afirmativamente a 2 o más preguntas, es muy probable que estas normativas se apliquen a su empresa.
Compruebe su situación
Nuestro escáner gratuito verifica la postura de seguridad de su sitio web, SSL, cabeceras, autenticación de correo electrónico y más. No se necesita cuenta.
Analice la seguridad de su plataformaEsta página proporciona información general sobre los marcos regulatorios de la UE. No constituye asesoramiento jurídico. Consulte a un profesional jurídico cualificado para obtener asesoramiento específico para su situación. SiteGuardian documenta su monitorización de forma continua — el cumplimiento es responsabilidad de su organización.