La guía GDPR.eu sobre trabajo remoto cubre lo básico; este artículo lo condensa en la política interna que un SaaS remote-first necesita en 2026. El Artículo 32 exige "medidas técnicas y organizativas apropiadas" independientemente de dónde trabaje el equipo. Remote no baja el estándar; solo extiende el perímetro.

Los 5 elementos de una política de seguridad remota

1. Estándares de dispositivo

Lista dispositivos aceptables y configuración mínima: cifrado de disco, bloqueo automático bajo 5 min, OS actualizado. Dispositivos provistos son más fáciles que BYOD; si BYOD, MDM no opcional.

2. Acceso a red

VPN obligatorio para acceder a sistemas de producción. WiFi público aceptable solo para herramientas de comunicación. No SSH desde cafeterías.

3. Reglas de almacenamiento

Los datos de clientes no viven en laptops locales. Si una descarga es necesaria (debug, soporte), documenta por qué y bórrala en 7 días. Log de auditoría en la descarga.

4. Respuesta a incidentes desde casa

Si un empleado pierde laptop o ve actividad anómala, el playbook arranca en 1 hora. Cadena telefónica, canal de incidentes, quién decide qué.

5. Onboarding y offboarding

Día 1: accesos provisionados con menor privilegio. Día -1: todos los accesos revocados en 4 horas tras la salida. Documenta el checklist.

RiesgoMitigación
Laptop perdidoCifrado disco + wipe remoto
PhishingMFA + formación
Shadow ITLista aprobada + auditoría mensual
Riesgo insiderMenor privilegio + revisiones de acceso
Sprawl de sub-encargadosGate de procurement

El fallo más común en seguridad remota no es malware; es sprawl SaaS no controlado. Un ingeniero se registra en una herramienta nueva, pega datos de cliente para testear, y tu lista de sub-encargados está obsoleta. Un gate de procurement lo soluciona por el coste de una página de Notion.

La política cabe en dos páginas

Las políticas internas de seguridad para SaaS remoto suelen tener 20+ páginas que nadie lee. La versión de dos páginas cubre el 95% del caso y se lee. Actualiza anualmente o tras incidente.

Conclusión

El SaaS remote-first gana en contratación pero asume perímetro de seguridad más amplio. Una política corta y ejecutada bate a una larga e ignorada. Los cinco elementos son el mínimo; documenta, forma una vez al año, audita anualmente.

Para documentar tu lista de sub-encargados públicamente (parte de tu política customer-facing) sin spreadsheets dispersos, prueba Termerly gratis.