ISO 27001 SaaS PLD: por qué exigir proveedor certificado

¿Qué es ISO/IEC 27001?

ISO/IEC 27001 es el estándar internacional para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), es el marco más reconocido globalmente para gestión de seguridad de la información.

La certificación no es un trámite técnico. Es una auditoría externa por un organismo acreditado que verifica tres dimensiones:

• Confidencialidad: solo personas autorizadas acceden a la información
• Integridad: la información es exacta y completa, sin alteración no autorizada
• Disponibilidad: la información está accesible cuando las personas autorizadas la necesitan

Estos tres pilares —conocidos como la tríada CIA— son la base de toda la seguridad de la información moderna. Un proveedor SaaS sin ISO 27001 no tiene evidencia formal de que cumple estas tres dimensiones.

ISO 27001:2022 — qué cambió respecto a la versión 2013

La versión 2022 es la actualización más reciente del estándar. Reemplaza a la versión 2013 (que estuvo vigente 9 años). Los cambios principales son cuatro.

1. Reorganización del Anexo A: de 114 a 93 controles

La versión 2013 tenía 114 controles en 14 dominios. La versión 2022 los consolida en 93 controles organizados en 4 temas:

2. Once controles nuevos en 2022

La versión 2022 introduce 11 controles que NO existían en 2013:

• Threat intelligence (inteligencia de amenazas)
• Information security for use of cloud services (seguridad para uso de servicios en la nube)
• ICT readiness for business continuity (preparación TIC para continuidad de negocio)
• Physical security monitoring (monitoreo de seguridad física)
• Configuration management (gestión de configuraciones)
• Information deletion (eliminación segura de información)
• Data masking (enmascaramiento de datos)
• Data leakage prevention (prevención de fuga de datos)
• Monitoring activities (actividades de monitoreo)
• Web filtering (filtrado web)
• Secure coding (codificación segura)

Estos nuevos controles reflejan riesgos modernos: cloud computing, ciberamenazas avanzadas, fuga de datos y desarrollo seguro de software. Un SaaS PLD certificado bajo 2022 ha sido auditado contra estos controles. Uno bajo 2013 NO.

3. Anexo de planeación de cambios (cláusula 6.3)

La versión 2022 añade una cláusula explícita sobre planeación de cambios en el SGSI. Esto significa que las organizaciones certificadas deben tener procesos formales para gestionar cualquier modificación al sistema, sea técnica o organizacional.

4. Plazo de transición

Los organismos certificadores establecieron un plazo de transición hasta el 31 de octubre de 2025 para que las empresas migraran de ISO 27001:2013 a 27001:2022. Después de esa fecha, los certificados 2013 quedaron sin validez. Si un proveedor te muestra un certificado 27001:2013 hoy, está vencido o no actualizado.

¿Por qué un SaaS PLD necesita ISO 27001?

Un proveedor de software de Prevención de Lavado de Dinero maneja información extremadamente sensible: expedientes KYC de clientes, datos de beneficiarios controladores, avisos al SAT, registros de operaciones inusuales y comprobantes para auditorías. La consecuencia de una fuga es masiva.

Tres riesgos concretos sin ISO 27001

1. Fuga de datos de clientes: si el SaaS sufre un incidente y se filtran nombres, RFC, INE y montos de operaciones, el sujeto obligado puede enfrentar acciones legales de sus propios clientes por violación a la Ley Federal de Protección de Datos Personales (LFPDPPP)
2. Pérdida de evidencia ante auditoría: si la información que el sujeto obligado debe conservar 10 años (Art. 18 Fr. IV LFPIORPI) se corrompe o pierde por mala gestión del proveedor, el sujeto enfrenta multas de 200-2,000 UMA por cliente sin expediente
3. Imposibilidad de cumplir el dictamen de auditoría: la reforma al Reglamento LFPIORPI (marzo 2026) obliga a tener dictamen de auditoría (Art. 12 Bis). Un SaaS sin ISO 27001 no puede dar evidencia formal de sus controles al auditor

Estos riesgos no son hipotéticos. El SAT ha intensificado las verificaciones desde 2024 y la CNBV revisa los sistemas automatizados (DCG Disp. 43a) en cada visita a SOFOMes. Si tu proveedor de SaaS no demuestra controles formales, el sujeto obligado paga las consecuencias.

Vínculo con LFPIORPI: el Art. 18 Fracción IV

El artículo 18, fracción IV de la LFPIORPI obliga a custodiar, proteger y resguardar la información de operaciones por 10 años (antes 5 años; ampliado por la reforma julio 2025). La obligación tiene tres verbos clave que se mapean directamente con ISO 27001:

Si tu SaaS PLD tiene ISO 27001:2022 certificada, tienes evidencia formal de cumplimiento del Art. 18 Fr. IV mediante el Anexo A del estándar. Si no la tiene, tu sujeto obligado debe construir esa evidencia por separado.

Vínculo con LGOAAC sector financiero: Art. 95 Bis inciso (e)

Para sector financiero, el Art. 95 Bis inciso (e) de la LGOAAC exige a las SOFOMes ENR contar con sistemas automatizados que permitan llevar a cabo de manera eficaz las actividades de monitoreo y detección. Las DCG de la CNBV en su Disposición 43a (Fracción IX) detallan que estos sistemas deben garantizar:

• Integridad de la información
• Disponibilidad de la información
• Auditabilidad de la información
• Confidencialidad de la información

Estos cuatro requisitos son exactamente los pilares de ISO 27001:2022 (la tríada CIA + auditabilidad como característica derivada del Anexo A.8.16 monitoreo). La certificación del proveedor SaaS es la forma natural de demostrar cumplimiento de la Disposición 43a Fr. IX ante una visita CNBV.

El Oficial de Cumplimiento de una SOFOM ENR debe poder responder a la CNBV: "¿Cómo garantiza que su sistema PLD cumple con la Disp. 43a Fr. IX?". La respuesta más directa es: "Mi proveedor SaaS está certificado bajo ISO/IEC 27001:2022, certificado número [X], emitido por [organismo acreditado], vigente al [fecha]".

Reforma marzo 2026 al Reglamento LFPIORPI: dictamen de auditoría obligatorio

La reforma al Reglamento LFPIORPI publicada en el DOF el 27 de marzo de 2026 introdujo el Art. 12 Bis: todos los sujetos obligados deben obtener y conservar un dictamen de auditoría interna o externa que evalúe el cumplimiento de las obligaciones PLD.

Para los auditores que emitirán esos dictámenes, la pregunta inevitable será: ¿qué evidencia tienes de que los controles de tu SaaS PLD son adecuados? Sin ISO 27001, esta pregunta abre una caja de Pandora documental: políticas, procedimientos, evidencias técnicas, registros de monitoreo, ejercicios de continuidad, todo por construir desde cero.

Con ISO 27001:2022 certificada del proveedor SaaS, la respuesta es directa: el SGSI del proveedor está auditado anualmente por un organismo acreditado y los 93 controles del Anexo A están implementados y verificados. El auditor del Art. 12 Bis puede usar esa evidencia como insumo principal.

Cómo evaluar a un proveedor SaaS con ISO 27001

Decir "tengo ISO 27001" no es suficiente. Hay proveedores que mienten o que tienen certificaciones parciales, vencidas o de alcance limitado. Estos son los cinco datos que debes verificar:

Pide al proveedor el PDF del certificado y verifícalo directamente en el portal del organismo certificador. Si te dan evasivas, ya tienes respuesta.

ISO 27001 vs SOC 2: ¿cuál importa más en México?

SOC 2 es otra certificación de seguridad común, especialmente en empresas con presencia en Estados Unidos. Existe confusión sobre cuál pedir. Estas son las diferencias clave:

Para el mercado mexicano y latinoamericano, ISO 27001 es el estándar primario. SOC 2 es complementaria si tu organización opera bajo SEC, NIST u otra regulación estadounidense. Lo ideal para un SaaS PLD que sirve a México es ISO 27001:2022; SOC 2 Type II es plus si vende a fintechs con inversores estadounidenses.

El costo de NO tener un proveedor certificado

Trabajar con un SaaS sin ISO 27001 puede ahorrarte algo en el costo del servicio. Pero los riesgos económicos son desproporcionados:

Una sola brecha de datos en un SaaS no certificado puede costar más que diez años de licencias del software premium certificado.

Caso KYC SYSTEMS: cómo cumplimos ISO 27001:2022

KYC SYSTEMS S.A. de C.V. obtuvo la certificación ISO/IEC 27001:2022 el 6 de marzo de 2026. Este es el detalle verificable de nuestra certificación.

Alcance literal del certificado

El alcance certificado por NYCE e IQNET cubre el servicio completo:

"KYC-Systems' Information Security Management System includes the onboarding, execution, maintenance, and support of the PLD SaaS Service, offered to corporate clients, which is hosted on the AWS public cloud platform. The ISMS comprises the technological and administrative processes carried out from the offices based in Mexico City, Mexico, as well as the remote operations of its distributed staff, with the aim of ensuring the confidentiality, integrity, and availability of the information managed by the Organization."

En términos operativos, el certificado cubre:

• El onboarding de nuevos clientes al SaaS PLD
• La ejecución diaria del servicio en producción
• El mantenimiento de la plataforma (actualizaciones, parches, evolución)
• El soporte a clientes corporativos
• El alojamiento en la nube pública AWS
• Las operaciones remotas del personal distribuido (importante post-pandemia)

Verificación independiente

Cualquier cliente o auditor puede verificar el certificado en tres fuentes independientes:

1. Portal oficial NYCE: www.nyce.org.mx → consulta por número 2026CRI-446
2. Portal IQNET: www.iqnet-certification.com → verificación cruzada vía NYCE-SIGE México
3. QR code en el PDF del certificado

El reconocimiento internacional vía IQNET significa que el certificado es válido y verificable en organismos como AENOR (España), DQS (Alemania), JQA (Japón), IRAM (Argentina) y 30+ países más. Útil cuando tu organización tiene casa matriz o auditores extranjeros.

Preguntas frecuentes sobre ISO 27001 en SaaS PLD

¿Qué es ISO 27001 en pocas palabras?

Es el estándar internacional para Sistemas de Gestión de Seguridad de la Información (SGSI). Verifica que una organización protege la confidencialidad, integridad y disponibilidad de la información mediante 93 controles del Anexo A (en su versión 2022). La certificación se emite por un organismo acreditado tras una auditoría externa.

¿Cuál es la versión vigente de ISO 27001?

La versión vigente es ISO/IEC 27001:2022. La versión anterior (2013) tuvo plazo de transición hasta el 31 de octubre de 2025. Cualquier certificado bajo la versión 2013 está vencido después de esa fecha. Si un proveedor te muestra un certificado 27001:2013 en 2026, no es válido.

¿Cuántos controles tiene el Anexo A de ISO 27001:2022?

93 controles agrupados en 4 temas: 37 organizacionales, 8 de personas, 14 físicos y 34 tecnológicos. Once de esos controles son nuevos respecto a la versión 2013 (cloud, threat intelligence, data masking, DLP, secure coding, entre otros).

¿Por qué un SaaS PLD necesita ISO 27001 y no solo cumplir LFPIORPI?

LFPIORPI te dice qué información proteger (Art. 18 Fr. IV: 10 años de conservación). ISO 27001 te dice cómo protegerla con un marco auditado externamente. Cumplir LFPIORPI sin un marco como ISO 27001 deja al sujeto obligado sin evidencia formal de controles para auditoría SAT o CNBV. Con ISO 27001:2022 certificada del proveedor SaaS, el sujeto obligado tiene esa evidencia automáticamente.

¿Cuánto cuesta certificar ISO 27001 en México?

La certificación inicial puede costar entre $250,000 y $1.5 millones MXN dependiendo del tamaño del SGSI, complejidad del alcance y consultores. Las auditorías de mantenimiento anuales agregan 30-50% del costo inicial cada año. La recertificación a los 3 años cuesta similar a la inicial. Es una inversión significativa que solo proveedores serios sostienen.

¿Cómo verifico si un certificado ISO 27001 es real?

Tres formas: (1) consulta el número de certificado en el portal del organismo certificador (en México, www.nyce.org.mx). (2) Si es un certificado IQNET, valida en www.iqnet-certification.com. (3) Escanea el código QR del PDF. Si el proveedor evita darte el PDF o el número, probablemente no tiene certificación real.

¿Qué pasa si el alcance del certificado solo cubre las oficinas y no el SaaS?

El certificado no protege lo que no está en el alcance. Si solo cubre "oficinas corporativas" pero NO el servicio SaaS ni la nube donde corre, los controles certificados NO aplican a la plataforma que estás contratando. Esto es un truco común: pide siempre que el alcance mencione expresamente el servicio SaaS, la plataforma cloud y las operaciones remotas.

¿ISO 27001 reemplaza a la LFPDPPP en México?

No, son complementarias. La LFPDPPP regula datos personales con derechos ARCO. ISO 27001 regula el SGSI completo de la organización. Un SaaS PLD debe cumplir ambos: ISO 27001 para el marco de seguridad y LFPDPPP para el tratamiento de datos personales que contiene. La certificación 27001 facilita demostrar las medidas de seguridad que exige el Art. 19 LFPDPPP.

¿Qué diferencia hay entre ISO 27001 e ISO 27017 / 27018?

ISO 27001 es la certificación base del SGSI. ISO 27017 es una guía adicional específica para servicios en la nube. ISO 27018 es guía para protección de datos personales en la nube. Las dos últimas NO son certificaciones independientes; son extensiones que añaden controles al 27001 base. Un proveedor SaaS con 27001:2022 ya cubre los controles cloud relevantes vía el A.5.23 (Information security for use of cloud services).

¿KYC SYSTEMS tiene certificación ISO 27001 vigente?

Sí. KYC SYSTEMS S.A. de C.V. cuenta con certificación ISO/IEC 27001:2022 bajo el certificado número 2026CRI-446, emitido por Normalización y Certificación NYCE (acreditado por ema 02/17) y reconocido internacionalmente por IQNET. Vigente del 6 de marzo de 2026 al 5 de junio de 2029. El alcance cubre el servicio SaaS de PLD en AWS, operaciones remotas y procesos de soporte a clientes corporativos.