Mover el ERP a la nube es hoy la elección obvia para la mayoría de PyMEs — costes predecibles, actualizaciones automáticas, acceso desde cualquier sitio. Pero el beneficio viene con una responsabilidad nueva: los datos de la empresa viven en un servidor que no es suyo. Si el proveedor es descuidado, quien paga es su empresa.
Estas son las 6 preguntas de seguridad que debe hacer a cualquier proveedor de ERP cloud antes de firmar.
1. ¿Dónde están mis datos?
En términos prácticos: ¿qué data center? ¿Qué país? Para PyMEs operando en la UE, la respuesta debe ser "dentro del EEE" — por el RGPD. Servicios con servidores en EE.UU. o Asia exigen Cláusulas Contractuales Tipo y aún así dejan zonas grises legales.
2. ¿Cuál es la política de backups?
No acepte respuestas vagas. Lo que quiere saber:
- Frecuencia: ¿incremental cada hora? ¿Diario? Menos que eso es poco para datos transaccionales.
- Retención: ¿30 días? ¿90? ¿1 año? La normativa contable exige a menudo 7-10 años.
- Ubicación: ¿los backups están en el mismo data center que los datos vivos? Si sí, un fallo físico se lleva los dos.
- Pruebas de restauración: ¿con qué frecuencia prueba el proveedor que la restauración funciona de verdad? "Tenemos backups" y "la restauración funciona" son cosas distintas.
Convirtamos esta idea en realidad
Si este artículo le resuena, probablemente podamos ayudar. Cuéntenos su caso en 30 segundos.
3. ¿Quién tiene acceso a mis datos?
Dentro del proveedor, ¿quién puede ver el contenido de su base de datos? Idealmente:
- Acceso en producción limitado a un equipo pequeño con auditoría completa (quién, cuándo, qué queries).
- Datos sensibles cifrados en reposo — incluso un DBA malintencionado no puede leerlos.
- MFA obligatorio para cualquier acceso administrativo.
4. ¿Cómo se gestiona la autenticación de nuestros usuarios?
Contraseñas almacenadas con bcrypt/argon2, no MD5 o SHA1. MFA opcional para usuarios y obligatorio para admins. Timeouts de sesión razonables e invalidación inmediata al dar de baja a alguien. Si el proveedor no habla a este nivel de detalle, es una señal.
5. ¿Qué ocurre si me voy?
Cláusula de portabilidad: en cualquier momento tiene derecho a un export completo de sus datos en formato estándar (CSV o SQL). ¿Cuánto después de la cancelación elimina el proveedor sus datos? ¿30 días? ¿90? Los buenos proveedores emiten certificado de destrucción.
6. ¿Hay historial de incidentes y cómo se comunicaron?
Ningún proveedor serio dice "nunca tuvimos problemas". Todos los tuvieron. La pregunta correcta es: cuando hubo un incidente, ¿lo comunicaron a los clientes? ¿En cuánto tiempo? ¿Con qué detalle? Si esquivan el tema, márchese.
¿Y el lado del cliente?
La seguridad de su ERP cloud es responsabilidad compartida. El proveedor protege la infraestructura; usted protege los accesos. Use MFA en usuarios, forme al equipo contra phishing, revise permisos trimestralmente y prepare un plan de contingencia (contacto de emergencia del proveedor, checklist si pierde acceso).
Conclusión
Un ERP cloud de confianza es más seguro que el 90% de los servidores on-premise mal mantenidos que se ven en PyMEs. Pero "cloud" no es sinónimo de "seguro" — depende totalmente de las prácticas del proveedor. Hacer estas 6 preguntas y exigir respuestas específicas, por escrito, separa socios serios de vendedores de folletos.