La guía GDPR.eu sobre trabajo remoto cubre lo básico; este artículo lo condensa en la política interna que un SaaS remote-first necesita en 2026. El Artículo 32 exige "medidas técnicas y organizativas apropiadas" independientemente de dónde trabaje el equipo. Remote no baja el estándar; solo extiende el perímetro.
Los 5 elementos de una política de seguridad remota
1. Estándares de dispositivo
Lista dispositivos aceptables y configuración mínima: cifrado de disco, bloqueo automático bajo 5 min, OS actualizado. Dispositivos provistos son más fáciles que BYOD; si BYOD, MDM no opcional.
2. Acceso a red
VPN obligatorio para acceder a sistemas de producción. WiFi público aceptable solo para herramientas de comunicación. No SSH desde cafeterías.
3. Reglas de almacenamiento
Los datos de clientes no viven en laptops locales. Si una descarga es necesaria (debug, soporte), documenta por qué y bórrala en 7 días. Log de auditoría en la descarga.
4. Respuesta a incidentes desde casa
Si un empleado pierde laptop o ve actividad anómala, el playbook arranca en 1 hora. Cadena telefónica, canal de incidentes, quién decide qué.
5. Onboarding y offboarding
Día 1: accesos provisionados con menor privilegio. Día -1: todos los accesos revocados en 4 horas tras la salida. Documenta el checklist.
| Riesgo | Mitigación |
|---|---|
| Laptop perdido | Cifrado disco + wipe remoto |
| Phishing | MFA + formación |
| Shadow IT | Lista aprobada + auditoría mensual |
| Riesgo insider | Menor privilegio + revisiones de acceso |
| Sprawl de sub-encargados | Gate de procurement |
El fallo más común en seguridad remota no es malware; es sprawl SaaS no controlado. Un ingeniero se registra en una herramienta nueva, pega datos de cliente para testear, y tu lista de sub-encargados está obsoleta. Un gate de procurement lo soluciona por el coste de una página de Notion.
La política cabe en dos páginas
Las políticas internas de seguridad para SaaS remoto suelen tener 20+ páginas que nadie lee. La versión de dos páginas cubre el 95% del caso y se lee. Actualiza anualmente o tras incidente.
Conclusión
El SaaS remote-first gana en contratación pero asume perímetro de seguridad más amplio. Una política corta y ejecutada bate a una larga e ignorada. Los cinco elementos son el mínimo; documenta, forma una vez al año, audita anualmente.
Para documentar tu lista de sub-encargados públicamente (parte de tu política customer-facing) sin spreadsheets dispersos, prueba Termerly gratis.


