¿Qué es la Debida Diligencia del Proveedor en SaaS? 

En SaaS, la debida diligencia del proveedor es el proceso de examinar cuidadosamente a los posibles proveedores de SaaS antes de colaborar con ellos. Esto incluye analizar diversas áreas, como:

• situación legal de la empresa
• estabilidad financiera
• rendimiento del producto
• manejo de información confidencial del cliente

Estas verificaciones tienen como objetivo proteger a las empresas contra eventos perjudiciales como el robo de datos, las interrupciones del servicio y los problemas de cumplimiento. 

Estos son los pasos del proceso de debida diligencia del proveedor: 

1. Considere la situación financiera del proveedor, si es lo suficientemente sólida como para ofrecer servicios durante un período prolongado. 
2. Concéntrese en su eficiencia operativa y efectividad técnica, incluyendo el control del tiempo, las políticas de seguridad y los planes de recuperación ante desastres. 
3. Analice los problemas legales y el cumplimiento de las regulaciones para evitar cualquier posible problema legal.

En el caso del software tradicional, local, la empresa es propietaria de la infraestructura.

En el caso del SaaS, el cliente cede el control de la seguridad de los datos, las aplicaciones y la infraestructura al proveedor. Sin embargo, la monitorización de la desviación de la variación (VDD) resulta útil para asegurar que el proveedor rinda cuentas sobre la gestión de los activos.

El proceso de diligencia debida normalmente se centra en cuatro áreas críticas:

• Seguridad & Técnica: Evaluando la protección de datos del proveedor, el cifrado, la seguridad de la red, los controles de acceso y el plan de respuesta a incidentes.
• Cumplimiento & Legal: Revisión del cumplimiento de regulaciones como GDPR, HIPAA, SOC 2, certificaciones ISO, y asegurar que los contratos incluyan cláusulas apropiadas de responsabilidad y propiedad de los datos.
• Financiero & Operativo: Evaluación de la estabilidad financiera del proveedor (para evitar la interrupción o terminación del servicio), el tiempo de actividad de la infraestructura, los planes de recuperación ante desastres y los acuerdos de nivel de servicio (SLAs).
• Gestión de datos: Analizar minuciosamente dónde y cómo se almacenan, procesan y potencialmente transfieren los datos a través de las fronteras, y la política de eliminación de datos tras la rescisión del contrato.

Un proceso sólido de VDD se basa en gran medida en evidencia verificable. La documentación clave solicitada incluye:

Es aconsejable evaluar cuidadosamente a los proveedores que:

• deciden no compartir documentación de seguridad (por ejemplo, informe SOC 2, resultados de pruebas de penetración) podrían ser relevantes.
• tienen un insuficiente o ausente Recuperación ante Desastres (DR) plan que podría estar asociado con métricas de RTO/RPO menos deseables.
• tienen términos ambiguos o excesivamente restrictivos en cuanto a la propiedad o portabilidad de los datos (recuperar sus datos).
• utilizan métodos de cifrado para datos, tanto cuando están almacenados como durante la transferencia, que pueden ser vulnerables a la exposición.
• pueden experimentar inestabilidad financiera o demostrar un historial de dificultades para cumplir con los SLA.

VDD es un esfuerzo interfuncional que requiere la contribución de varios departamentos:

• Seguridad de la Información/TI: Supervisa controles técnicos, la arquitectura y la seguridad de la red. 
• Legal/Cumplimiento: Revisa contratos, APD, y cumplimiento de las normativas.
• Finanzas/Adquisiciones: Evalúa el costo, la estabilidad financiera y los términos del contrato.
• Unidad de Negocio/Usuario: Verifica el ajuste operativo y las capacidades funcionales de la solución.