Si diriges una empresa SaaS en México, probablemente ya te topaste con esto: un cliente corporativo o una dependencia de gobierno te pide ISO 27001 como requisito para cerrar el contrato. O peor, perdiste una oportunidad porque no la tenías. La certificación ISO 27001 para empresas SaaS en México dejó de ser un diferenciador y se convirtió en un requisito de entrada para vender a clientes serios. Esta guía te explica qué implica para tu tipo de empresa, qué controles son los más relevantes para tu stack tecnológico y cómo certificarte sin paralizar tu operación.
Puntos clave
- ISO 27001 no es solo un tema de TI: cubre personas, procesos y tecnología para proteger la información de tus clientes.
- Las empresas SaaS tienen ventaja para certificarse porque ya manejan control de versiones, monitoreo y accesos basados en roles.
- El Anexo A de ISO 27001:2022 incluye controles específicos para desarrollo seguro, cloud y gestión de vulnerabilidades.
- Con ONCE México puedes certificarte en 4 a 6 meses con un paquete que integra implementación y certificación.
- La certificación desbloquea ventas enterprise, gobierno y mercados internacionales que exigen prueba de seguridad.
Por qué tus clientes te piden ISO 27001
Cada vez que una empresa contrata tu SaaS, te está confiando datos sensibles: información financiera, datos de empleados, registros de clientes, propiedad intelectual. Para ellos, el riesgo no es solo que tu plataforma se caiga. El riesgo es que sus datos terminen expuestos.
ISO 27001 es la forma internacional de demostrar que tu empresa tiene un Sistema de Gestión de Seguridad de la Información (SGSI) que funciona. No es una checklist de seguridad técnica. Es un sistema completo que abarca cómo contratas personas, cómo desarrollas código, cómo gestionas accesos y qué haces cuando ocurre un incidente.
Para el cliente que te lo pide, es la diferencia entre confiar en tu palabra y confiar en una verificación independiente hecha por un organismo acreditado.
Quiénes te lo van a pedir
- Bancos y fintech: regulados por la CNBV, necesitan proveedores certificados.
- Empresas con datos de salud: hospitales, aseguradoras, laboratorios.
- Gobierno federal y estatal: cada vez más licitaciones tecnológicas incluyen ISO 27001 como requisito.
- Corporativos globales: empresas con operaciones en México que siguen estándares de su matriz.
- Clientes internacionales: si vendes fuera de México, ISO 27001 es esperado en mercados como EEUU, Europa y Canadá.
Qué cubre ISO 27001 en el contexto de un SaaS
La versión actual es ISO 27001:2022, que reorganizó los controles del Anexo A en 4 categorías. Aquí te muestro cómo se traducen a tu operación como empresa de software:
| Categoría del Anexo A | Controles relevantes para SaaS | Ejemplo práctico |
|---|---|---|
| Organizacionales (37 controles) | Políticas de seguridad, gestión de riesgos, relación con proveedores, gestión de incidentes | Política de seguridad firmada, acuerdo con tu proveedor de nube, plan de respuesta a incidentes |
| De personas (8 controles) | Verificación de antecedentes, concientización, responsabilidades al terminar la relación laboral | Onboarding de seguridad para devs, revocación de accesos al salir un empleado |
| Físicos (14 controles) | Seguridad de oficinas, protección de equipos, escritorio limpio | Control de acceso a oficinas, cifrado de laptops, política de trabajo remoto |
| Tecnológicos (34 controles) | Control de acceso, criptografía, desarrollo seguro, monitoreo, gestión de vulnerabilidades | MFA, cifrado en tránsito y reposo, code review, SAST/DAST, logs centralizados |
Por qué las empresas SaaS tienen ventaja para certificarse
Si eres una empresa de tecnología, ya tienes muchas piezas del rompecabezas. La mayoría de los SaaS en México ya cuentan con:
- Control de versiones: Git, GitHub/GitLab con pull requests y revisiones de código.
- Infraestructura como código: Terraform, CloudFormation o similares que documentan tu infraestructura.
- Monitoreo: herramientas como Datadog, New Relic, CloudWatch o Grafana.
- Gestión de accesos: SSO, RBAC, políticas de contraseñas en tu IdP.
- CI/CD: pipelines automatizados que pueden integrar pruebas de seguridad.
Lo que normalmente falta es la estructura formal: la política de seguridad documentada, el análisis de riesgos, el tratamiento de riesgos, los procedimientos de gestión de incidentes y la evidencia de que todo esto funciona de forma continua.
En otras palabras, ya tienes los controles técnicos. Lo que ISO 27001 te pide es envolverlos en un sistema de gestión que los haga sostenibles, medibles y mejorables.
Los controles más críticos para tu SaaS
No todos los 93 controles del Anexo A tienen el mismo peso para una empresa SaaS. Estos son los que más impactan tu operación y los que tus clientes van a preguntar primero:
Desarrollo seguro (A.8.25-A.8.28)
ISO 27001:2022 incluye controles específicos para el ciclo de vida de desarrollo de software. Necesitas demostrar que tienes prácticas de código seguro: revisiones de código, pruebas de seguridad en el pipeline, separación de ambientes (dev/staging/prod) y gestión de dependencias.
Gestión de accesos (A.8.2-A.8.5)
Quién tiene acceso a qué, cómo se otorga, cómo se revoca y con qué frecuencia se revisa. Para un SaaS, esto incluye tanto el acceso de tu equipo a la infraestructura como los permisos de tus clientes dentro de la plataforma.
Criptografía (A.8.24)
Cifrado en tránsito (TLS), cifrado en reposo (AES-256 o similar), gestión de llaves y certificados. Si manejas datos sensibles, tus clientes esperan que demuestres cómo los proteges.
Gestión de incidentes (A.5.24-A.5.28)
Un plan documentado de qué hacer cuando ocurre un incidente de seguridad: quién lo detecta, quién lo clasifica, quién lo comunica, cómo se contiene y cómo se reporta al cliente afectado. La diferencia entre una empresa madura y una improvisada se nota aquí.
Continuidad del servicio (A.5.29-A.5.30)
Backups, planes de recuperación ante desastres, RPO/RTO definidos. Tu SLA dice 99.9% de disponibilidad, pero ¿puedes demostrarlo con evidencia?
El proceso de certificación para un SaaS: paso a paso
Así funciona el camino hacia ISO 27001 cuando eres una empresa de software:
- Definición de alcance: decides qué producto, servicios y áreas de la empresa entran en la certificación. No tienes que certificar todo.
- Análisis de riesgos: identificas amenazas y vulnerabilidades específicas de tu operación SaaS (acceso no autorizado, fuga de datos, caída de servicio, dependencia de terceros).
- Declaración de aplicabilidad (SoA): defines cuáles de los 93 controles del Anexo A aplican a tu contexto y cómo los implementas.
- Implementación de controles: cierras las brechas entre lo que ya tienes y lo que necesitas. Para un SaaS maduro, esto suele ser más documental que técnico.
- Auditoría interna: verificas que todo funciona antes de la auditoría externa.
- Auditoría de certificación: el organismo certificador evalúa tu SGSI en dos etapas (documental + en sitio).
Con el modelo integrado de ONCE México, estos pasos se comprimen en 4 a 6 meses. La implementación y la certificación van en un solo paquete, sin necesidad de contratar un consultor por un lado y una certificadora por otro.
ISO 27001 vs SOC 2: cuál necesitas
Esta es la pregunta que más hacen los CTOs de empresas SaaS en México. La respuesta corta: depende de tu mercado.
| Criterio | ISO 27001 | SOC 2 |
|---|---|---|
| Reconocimiento | Global (ISO es internacional) | Principalmente EEUU |
| Tipo de resultado | Certificación (pasa / no pasa) | Reporte de auditoría (opinión del auditor) |
| Validez | 3 años con auditorías de seguimiento anuales | 12 meses (se renueva cada año) |
| Enfoque | Sistema de gestión completo + controles técnicos | Controles técnicos basados en Trust Service Criteria |
| Mejor para | Mercado mexicano, LATAM, Europa, gobierno | Clientes enterprise en EEUU |
| Costo en México | Accesible (modelo integrado ONCE, cotizar) | Mayor inversión (pocos auditores en México) |
Si tu mercado principal es México y Latinoamérica, ISO 27001 es la opción más reconocida y con mejor costo-beneficio. Si vendes principalmente a empresas estadounidenses, evalúa si necesitas SOC 2 o si ISO 27001 es suficiente (muchas empresas de EEUU aceptan ISO 27001).
Más allá del requisito: beneficios reales para tu SaaS
La mayoría de las empresas SaaS inician el proceso de ISO 27001 porque un cliente se los pidió. Pero los beneficios que descubren en el camino son igual de valiosos:
- Reduces el tiempo de ventas enterprise: en lugar de responder cuestionarios de seguridad de 200 preguntas, mandas tu certificado.
- Formalizas prácticas que ya tenías: tu equipo de desarrollo ya hacía code review, ahora hay evidencia de que es sistemático.
- Detectas vulnerabilidades antes: el análisis de riesgos te obliga a pensar en escenarios que no habías considerado.
- Atraes mejor talento: los ingenieros senior quieren trabajar en empresas que se toman la seguridad en serio.
- Te preparas para escalar: un SGSI funcional es la base para SOC 2, ISO 27701 (privacidad) o certificaciones sectoriales que necesitarás al crecer.
Las certificaciones empresariales transforman tu pipeline de ventas. Para un SaaS, ISO 27001 es la llave que abre la puerta al mercado enterprise.
Cómo empezar tu proceso de certificación
El primer paso es un diagnóstico que evalúe dónde estás respecto a los requisitos de ISO 27001:2022. En empresas SaaS, este diagnóstico suele revelar que los controles técnicos ya existen pero falta la estructura documental del sistema de gestión.
ONCE México es un organismo de certificación acreditado que ofrece un modelo único: implementación y certificación en un solo paquete. No necesitas un consultor externo que te prepare y luego una certificadora diferente que te audite. Un solo equipo te acompaña de cero a certificado en 4 a 6 meses.
Esto es particularmente útil para empresas de tecnología que no quieren procesos burocráticos lentos. El equipo de ONCE entiende tu contexto técnico y adapta el SGSI a tu forma de trabajar, no al revés.
Preguntas frecuentes
¿ISO 27001 aplica solo a la infraestructura o también al código de mi SaaS?
Aplica a ambos. ISO 27001 cubre la seguridad de la información en todos los niveles: infraestructura (servidores, cloud), aplicación (código, APIs, accesos), procesos (onboarding, soporte, desarrollo) y personas (capacitación, roles). El Anexo A incluye controles específicos para desarrollo seguro de software.
¿Necesito ISO 27001 si ya uso AWS o Azure con sus certificaciones?
Sí. Que tu proveedor de nube esté certificado cubre su infraestructura, pero no tus procesos, tu código, tu gestión de accesos ni cómo manejas los datos de tus clientes. Tu cliente necesita saber que TU proteges su información, no solo que tu hosting lo hace.
¿Cuánto tarda una empresa SaaS en certificarse en ISO 27001?
Con un modelo integrado como el de ONCE México, entre 4 y 6 meses. Las empresas SaaS suelen avanzar más rápido que otras industrias porque ya tienen cultura técnica, herramientas de monitoreo y control de versiones.
¿ISO 27001 me ayuda a cumplir con la Ley Federal de Protección de Datos Personales?
Sí, indirectamente. ISO 27001 establece controles de seguridad que cubren muchos requisitos de la LFPDPPP y su reglamento. Además, puedes complementar con ISO 27701 para privacidad de datos específicamente.
¿Puedo certificar solo una parte de mi empresa o producto?
Sí. El alcance de ISO 27001 se define al inicio del proyecto. Puedes certificar tu plataforma SaaS principal sin incluir otros productos o áreas de la empresa que no manejen información sensible.
Tu SaaS listo para el mercado enterprise
ONCE México certifica empresas de tecnología en ISO 27001 en 4 a 6 meses. Un solo paquete, un solo equipo, de cero a certificado.