ooligo
ES
English en Español es Português (Brasil) pt-BR 日本語 ja Français fr Deutsch de
Suscribirse
Herramientas Comparaciones Workflows Stacks Aprender
Verticales
RevOps Legal Ops Reclutamiento y TA
Idioma
English Español Português (Brasil) 日本語 Français Deutsch
GitHub Suscribirse
TIPO · framework

Workflow de Due Diligence de Proveedores

Última actualización 2026-05-03 Legal Ops

La due diligence de proveedores es el proceso de evaluar la postura de seguridad, privacidad, financiera y de cumplimiento de un proveedor tercero antes de firmar un contrato —y re-evaluar periódicamente después. Es co-propiedad de Legal Ops, Seguridad, IT y Procurement, y se ubica entre la solicitud de incorporar un nuevo proveedor y la firma efectiva del MSA. Bien ejecutada, es invisible para el negocio; mal ejecutada, se convierte en un cuello de botella de procurement de 90 días.

El workflow de cinco etapas

EtapaResponsableResultado
1. IntakeSolicitante del negocioNombre del proveedor, caso de uso, tipos de datos, ARR esperado
2. ClasificaciónProcurement / Legal OpsNivel de riesgo (bajo / medio / alto), profundidad de diligencia requerida
3. Recolección de diligenciaProveedorCuestionario SIG/CAIQ, informe SOC 2, certificados de seguro, estados financieros
4. RevisiónSeguridad + Legal + ITHallazgos de riesgo, mitigaciones requeridas, términos de DPA y MSA
5. Aprobación / firmaJefe de departamento + ProcurementMSA firmado, proveedor incorporado al ciclo de gestión de proveedores

El tiempo total del ciclo debe ser de 5-15 días hábiles para proveedores de bajo riesgo, y de 30-60 días para proveedores de alto riesgo. Cualquier tiempo mayor es una falla del proceso, no del proveedor.

Clasificación por nivel de riesgo

Tres o cuatro niveles, basados en el acceso a datos y la profundidad de integración:

  • Bajo. Sin datos personales, sin acceso a sistemas de producción, ARR por debajo de $25K. Ejemplos: proveedor de imágenes de marketing, un contratista de diseño puntual. Diligencia: MSA estándar, perfil del proveedor.
  • Medio. Datos personales limitados (nombres/emails de empleados), sin acceso a sistemas de producción, ARR $25K-$250K. Ejemplos: herramienta de gestión de proyectos, software de coordinación. Diligencia: cuestionario SIG-Lite, SOC 2 vigente.
  • Alto. Datos personales sustanciales o acceso a sistemas de producción, ARR $250K+. Ejemplos: CRM, plataforma de soporte al cliente, proveedores de IA que procesan interacciones con clientes. Diligencia: SIG completo, SOC 2 + prueba de penetración, DPA, verificación de seguro, revisión financiera.
  • Crítico. Infraestructura crítica, acceso a datos regulados, puntos únicos de falla. Ejemplos: proveedor principal de infraestructura cloud, procesador de pagos, EHR para salud. Diligencia: SIG completo más auditoría in situ, plan de continuidad del negocio, acuerdo de escrow, sponsor ejecutivo.

Los proveedores mal clasificados hacia abajo son la fuente de la mayoría de los eventos de riesgo de proveedores significativos. Por defecto, clasifica en el nivel superior cuando tengas dudas.

Qué contiene un SIG / CAIQ

El cuestionario Standardized Information Gathering (SIG) y el Consensus Assessments Initiative Questionnaire (CAIQ) de Cloud Security Alliance son los dos cuestionarios de seguridad de proveedores dominantes. El SIG es más amplio (cubre dimensiones operativas, regulatorias y de continuidad del negocio); el CAIQ es más estrecho y enfocado en la nube.

Un SIG-Lite típico tiene 100-200 preguntas que cubren:

  • Políticas de seguridad de la información y gobernanza
  • Control de acceso y gestión de identidades
  • Cifrado (en tránsito, en reposo)
  • Respuesta a incidentes y notificación de brechas
  • Continuidad del negocio y recuperación ante desastres
  • Gestión de subprocesadores
  • Seguridad del personal (verificación de antecedentes, capacitación)
  • Seguridad de aplicaciones (SDLC, gestión de dependencias)
  • Seguridad física (centro de datos, oficinas)
  • Atestaciones de cumplimiento (SOC 2, ISO 27001, HIPAA, PCI según corresponda)

Los proveedores maduros mantienen respuestas SIG/CAIQ pre-completadas disponibles bajo solicitud, lo que reduce dramáticamente el tiempo del ciclo de diligencia.

Cómo operacionalizar

  1. Portal de intake centralizado. Toda solicitud de proveedor pasa por un único formulario, no por contacto directo entre el negocio y el proveedor. El formulario captura los datos necesarios para la clasificación.
  2. Clasificación automática en el intake. Lógica de árbol de decisión que enruta bajo/medio/alto según el tipo de dato, ARR y profundidad de integración. Verificar manualmente el 10% de las clasificaciones de nivel bajo cada trimestre.
  3. Portal del proveedor para la recolección de diligencia. El proveedor sube el SIG, SOC 2, seguros y financieros a un portal controlado, no por email.
  4. Revisión aumentada por IA. Claude o Spellbook revisa las respuestas del SIG contra los estándares del cliente, señala brechas y redacta la lista de preguntas de vuelta al proveedor. El revisor humano se enfoca en las decisiones de juicio, no en la comparación de textos.
  5. Recertificación anual. Cada proveedor de nivel alto recertifica anualmente; el nivel medio cada dos años. Los cambios de subprocesadores, las renovaciones de SOC 2 y las renovaciones de seguros disparan revisiones intermedias.

Errores comunes

  • La diligencia como obstáculo, no como habilitación. Cuando el objetivo se convierte en “encontrar razones para rechazar” en lugar de “encontrar riesgos para mitigar”, el negocio rodea la gestión de proveedores. El bypass de procurement es el peor resultado posible.
  • Sin clasificación — todo proveedor recibe el SIG completo. Agota la buena voluntad del proveedor, ralentiza los casos fáciles y no añade seguridad en los difíciles.
  • Diligencia de una sola vez sin recertificación. La postura de un proveedor cambia; la diligencia archivada se vuelve obsoleta. Reclasificar después de un incidente aunque la recertificación no esté vencida.
  • Sin seguimiento de mitigaciones. Un proveedor aceptado con condiciones (“debe implementar MFA en 90 días”) necesita que se haga seguimiento de la mitigación hasta su cierre. Sin eso, las condiciones son teatro.
  • Tratar a los proveedores de IA como estándar. Los proveedores de IA plantean preguntas de diligencia novedosas — uso de datos de entrenamiento, retención de outputs del modelo, registro de prompts. El SIG estándar no las cubre; añadir un adendum específico de IA.

Relacionados

  • DPA checklist — el anexo de protección de datos requerido para la mayoría de los proveedores
  • MSA redlining rubric — el contrato principal en el que termina la diligencia
  • Contract review SOP — el proceso de contratos más amplio en torno a la incorporación de proveedores
  • What is Legal Ops? — la función que es propietaria de la diligencia de proveedores en coordinación con Seguridad
Editar esta página en GitHub