InicioBlog › Lo que los bancos realmente evalúan en una auditoría de seguridad a tu Unidad de Valuación
Seguridad

Lo que los bancos realmente evalúan en una auditoría de seguridad a tu Unidad de Valuación

Solución IDEAS 9 min de lectura
Lo que los bancos realmente evalúan en una auditoría de seguridad a tu Unidad de Valuación

La auditoría que no esperabas

Si tu Unidad de Valuación trabaja con bancos, en algún momento recibirás un cuestionario de seguridad. No es opcional. Las instituciones financieras en México están obligadas por regulación de la CNBV a evaluar y auditar a todos sus terceros, incluyendo a las Unidades de Valuación que les proporcionan avalúos.

La regulación bancaria exige que los contratos con terceros prevean que el proveedor acepte auditorías por parte de la institución contratante, su auditor externo y la autoridad supervisora, y que entregue documentación, acceso a personal y acceso a instalaciones relacionadas con el servicio.

En otras palabras: el banco no "se lava las manos" al subcontratar el servicio de valuación. Se arma contractualmente para poder auditarte.

El proceso típico de auditoría

Cada banco tiene su propia metodología, pero el proceso generalmente sigue estas etapas:

Etapa 1: Levantamiento del servicio

El banco identifica qué servicio les prestas, qué tipo de información manejas, y qué nivel de criticidad tiene para su operación. Los avalúos implican datos personales sensibles (INE, escrituras, información financiera indirecta), por lo que generalmente se clasifican como de riesgo medio-alto.

Etapa 2: Cuestionario de seguridad

Recibes un cuestionario formal — puede ser un TPCQ (Third Party Control Questionnaire), Sure Cloud, o un formato propietario del banco. Las preguntas cubren:

  • Infraestructura tecnológica
  • Seguridad de la información
  • Manejo de datos personales
  • Subcontratación de servicios
  • Controles de acceso físico y lógico
  • Políticas internas documentadas
  • Procedimientos de respuesta a incidentes
  • Continuidad de negocio

Etapa 3: Revisión de evidencias

No basta con responder "sí" a las preguntas. El banco pide evidencia: documentos de políticas, capturas de pantalla de configuraciones, registros de capacitación, contratos con terceros, resultados de pruebas de vulnerabilidad.

Etapa 4: Resultados y plan de acción

El banco emite hallazgos clasificados por severidad (crítico, alto, medio, bajo) y solicita un plan de acción con fechas de remediación. Los hallazgos críticos pueden resultar en restricción del servicio o terminación del contrato.

Los vacíos más comunes que encuentran

Basándonos en la experiencia real de auditorías bancarias a Unidades de Valuación, estos son los hallazgos más frecuentes:

1. Políticas inexistentes o no documentadas

"¿Tienen política de seguridad de la información?" — "Sí, todos saben cómo trabajar." Eso no es una política. Los bancos esperan documentos formales, aprobados, comunicados y con evidencia de cumplimiento.

2. Destrucción de información desconocida

La regulación SHF exige retención de información hasta por 10 años. Pero ¿qué pasa después? ¿Cómo se destruye? ¿Quién lo autoriza? La mayoría de las UV no tienen respuesta documentada.

3. Notificación de incidentes pendiente

"¿Tienen procedimiento de notificación de incidentes de seguridad?" Silencio. La LFPDPPP obliga a notificar de forma inmediata las vulneraciones que afecten de forma significativa derechos patrimoniales o morales de los titulares.

4. Segmentación de datos incierta

¿Los datos de un banco están separados de los de otro? ¿Un valuador que trabaja para tres bancos tiene acceso cruzado a expedientes? Estas preguntas generan hallazgos cuando no hay controles claros.

5. Sin control sobre dispositivos de valuadores

El banco pregunta: "¿Los dispositivos usados en inspecciones están cifrados? ¿Tienen borrado remoto? ¿Hay política de BYOD?" Y la respuesta suele ser: "Cada valuador usa su propio celular."

6. Subcontratación sin contratos de seguridad

Los peritos y valuadores externos son, en efecto, una extensión de tu operación. Si no tienen contratos con cláusulas de seguridad y confidencialidad, el banco lo marca como hallazgo.

El marco regulatorio que lo respalda

CNBV - Disposiciones para instituciones de crédito

Las disposiciones bancarias exigen que, cuando el servicio subcontratado involucra infraestructura tecnológica, el expediente incluya un informe técnico que describa cómo se cumplirá con lineamientos mínimos de operación y seguridad (Anexo 52). Esto incluye redundancia, continuidad, cifrado punto a punto, funciones de oficial de seguridad, y auditorías al proveedor con periodicidad mínima.

LFPDPPP

La ley define que el responsable (la UV) debe implementar medidas de seguridad que no sean menores a las que usa para proteger su propia información, considerando el riesgo, la sensibilidad de los datos y el desarrollo tecnológico. Las vulneraciones de seguridad deben informarse de forma inmediata.

HSBC como ejemplo público

Los términos regulatorios de HSBC para contratos críticos contemplan que el banco puede realizar — o designar a un tercero para realizar — pruebas de vulnerabilidad y penetración sobre los servicios, y que el proveedor debe cooperar plenamente y corregir fallas detectadas. Este es el nivel de diligencia que los bancos grandes extienden a toda su cadena de suministro.

El desafío real del sector

Se exige nivel de seguridad financiero a empresas sin estructura, personal ni presupuesto financiero.

La mayoría de las UV:

  • No tienen equipo de ciberseguridad
  • No tienen CISO (Chief Information Security Officer)
  • No tienen presupuesto dedicado a seguridad
  • No tienen conocimiento técnico profundo en la materia

Pero eso no las exime de la responsabilidad. La solución no es ignorar el problema — es adoptar un enfoque proporcional al riesgo.

Cómo prepararte: lo mínimo que necesitas

No necesitas una certificación ISO 27001 completa. Necesitas controles mínimos, prácticos y auditables:

  1. Política de seguridad documentada: Un documento formal con reglas claras de uso de información, dispositivos y accesos
  2. Control de accesos: Usuarios individuales, baja inmediata, MFA
  3. Cifrado de dispositivos: Todos los equipos que manejen datos de avalúos
  4. Contratos con valuadores externos: Con cláusulas de seguridad y confidencialidad
  5. Procedimiento de incidentes: Qué hacer y a quién notificar si hay una brecha
  6. Proveedor tecnológico con evidencias: Un sistema que te proporcione evidencia lista para auditorías
  7. Auditoría anual básica: Una revisión externa que valide tus controles

De proveedor de sistema a plataforma con cumplimiento asistido

El rol del proveedor tecnológico puede evolucionar de simplemente ofrecer un "sistema de valuación" a convertirse en una plataforma con seguridad integrada y cumplimiento asistido. Esto significa que el sistema no solo procesa avalúos, sino que también genera las evidencias, los controles y la documentación que la UV necesita para pasar las auditorías bancarias.

¿Necesitas pasar una auditoría bancaria?

GYS Avalúos integra controles de seguridad de nivel financiero y genera evidencia de cumplimiento lista para auditorías de HSBC, BBVA, Scotiabank y más.

Hablar con un asesor
Compartir:

Artículos relacionados

Seguridad

Tu información es tuya: seguridad y privacidad en la nube

15 Mar 2026 · 5 min
Seguridad

Modelo de responsabilidad compartida en ciberseguridad para Unidades de Valuación

28 Mar 2026 · 8 min
Seguridad

El mayor riesgo de ciberseguridad en valuación no está en la tecnología

01 Apr 2026 · 7 min
Solicitar Demo WhatsApp
Configuración de Cookies

Este sitio utiliza cookies para garantizar la mejor experiencia. Puedes elegir qué categorías permitir. Más información