Por qué Varify no tiene la certificación ISO 27001 - y por qué esto no es un problema
Índice
Objetivo del artículo
Este documento proporciona al equipo de Varify una línea de razonamiento clara y basada en hechos cuando los clientes o clientes potenciales preguntan por qué Varify no tiene la certificación ISO 27001 (o equivalente). Explica las razones arquitectónicas por las que tal certificación sería desproporcionada, describe las medidas de seguridad que Varify realmente implementa y proporciona módulos de texto listos para ventas, éxito del cliente y discusiones de compra.
La respuesta corta
Varify no almacena ni procesa datos personales. La norma ISO 27001 está diseñada para gestionar los riesgos relacionados con los activos de información, en particular los datos sensibles o personales. Dado que Varify se abstiene deliberadamente de almacenar tales datos arquitectónicamente, los riesgos abordados por la norma ISO 27001 no se aplican a Varify. En su lugar, Varify se basa en medidas proporcionadas, conformes al GDPR, y en principios de privacidad por diseño que corresponden al perfil de riesgo real.
Cómo la arquitectura de Varify elimina los riesgos de los datos
Varify separa la entrega del experimento de la medición del resultado. Esta decisión arquitectónica central determina toda la posición de datos de Varify.
Qué hace Varify
- Proporciona un ligero fragmento de JavaScript (11,5 KB) que aplica cambios visuales o basados en código a un sitio web.
- Asigna variantes de experimentos a los visitantes a través de localStorage/sessionStorage (no a través de cookies)
- Envía señales de participación en el experimento a la herramienta de análisis propia del cliente (GA4, BigQuery, PostHog, Matomo, etc.)
Lo que Varify NO hace
- No recopila, almacena ni procesa información personal identificable (IPI).
- No establece cookies y no utiliza identificadores persistentes
- No crea perfiles de usuario ni realiza un seguimiento de las personas a lo largo de las sesiones.
- No gestiona su propia base de datos de análisis o almacén de datos
- No recibe, almacena ni tiene acceso a datos de conversión, datos de ventas o registros de clientes.
Todo el seguimiento, medición y almacenamiento de datos tiene lugar exclusivamente en el entorno de análisis del cliente. Varify no ve, toca ni almacena estos datos en ningún momento.
Por qué la ISO 27001 es desproporcionada para Varify
ISO 27001 es un marco para establecer, implantar y mantener un sistema de gestión de la seguridad de la información (SGSI). Está dirigida a organizaciones que almacenan, procesan o transfieren información sensible, en particular datos personales, financieros, sanitarios o de propiedad intelectual.
Los controles básicos de la norma ISO 27001 abordan riesgos como:
- Acceso no autorizado a los datos almacenados
- Infracciones y pérdida de datos
- Procesos de datos inseguros
- Controles de acceso insuficientes a los sistemas sensibles
- Respuesta inadecuada a los incidentes relacionados con los datos
Estos riesgos presuponen que el proveedor posee datos dignos de protección. Si la arquitectura de un proveedor se diseña de forma que no se almacenen ni procesen datos personales, el modelo de amenaza que asegura la norma ISO 27001 se reduce fundamentalmente.
No se trata de un argumento a favor de no adoptar ninguna medida de seguridad, sino de adoptar medidas adecuadas al riesgo real. El propio RGPD consagra este principio en su artículo 32, que exige medidas de seguridad „proporcionadas al riesgo”.
Lo que realmente tiene Varify
Varify mantiene medidas de seguridad y cumplimiento adecuadas a su papel como herramienta de entrega al cliente sin almacenamiento de datos personales.
Cumplimiento del RGPD desde el diseño
- Arquitectura sin cookies: no se requiere el consentimiento de cookies específicas para Varify
- Varify no almacena datos personales
- Sin identificadores personales de los participantes en el experimento
- Privacidad por diseño y privacidad por defecto como principios arquitectónicos
Contrato de tramitación de pedidos (AVV)
- DPA completo de conformidad con el art. 28 del GDPR, obligatorio para todos los clientes
- Medidas técnicas y organizativas documentadas como anexo a las CGU
- Lista de subprocesadores con notificación previa de cambios
- Procedimiento definido para respaldar los derechos de los interesados
- Derechos de inspección concedidos a la persona responsable
Seguridad de las infraestructuras (controles heredados)
La infraestructura de Varify funciona con proveedores que a su vez cuentan con amplias certificaciones:
| Proveedor | Papel | Certificaciones |
|---|---|---|
| AWS (Fráncfort, eu-central-1) | Alojamiento, informática, almacenamiento | ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, C5, PCI DSS |
| Cloudflare | CDN, protección DDoS, entrega en el límite | ISO 27001, SOC 2 Tipo II, PCI DSS |
Todo el tratamiento de datos tiene lugar en la UE (Fráncfort). Para las operaciones básicas, no se transfieren datos fuera del Espacio Económico Europeo.
Seguridad de las aplicaciones
- Cifrado TLS para todos los datos en tránsito (HTTPS obligatorio)
- Control de acceso basado en roles dentro de la plataforma Varify
- Prácticas seguras de desarrollo de software
- Supervisión periódica de dependencias y vulnerabilidades
- Procedimiento de respuesta a incidentes documentado en la GCU
Estado de cumplimiento
- Conformidad con el RGPD (tratamiento de datos de la UE, sin almacenamiento de IPI, DPA con TOM)
- Compatible con CCPA
- Compatible con entornos regulados por la HIPAA (no se procesa PHI)
- Conformidad con la revDSG suiza (alojamiento conforme a la UE)
El argumento de la proporcionalidad
El principio de proporcionalidad es fundamental tanto para el RGPD (artículo 32) como para la propia norma ISO 27001 (la selección de los controles del anexo A se basa en el riesgo). Exigir la ISO 27001 a un proveedor que no tiene datos personales crea un desajuste en el cumplimiento:
- La certificación cubriría riesgos que no existen. El valor de la norma ISO 27001 reside en la protección de los activos de información. Si no hay activos de datos personales, la certificación aborda un modelo de amenaza vacío.
- Los datos se almacenan en la herramienta de análisis del cliente. La instancia GA4, BigQuery o Matomo del cliente -no Varify- es el sistema que almacena los resultados de los experimentos y los datos de los usuarios. Las evaluaciones de seguridad deben centrarse en estos sistemas.
- La norma ISO 27001 no es garantía de seguridad. La certificación confirma la existencia de un sistema de gestión, no la ausencia de vulnerabilidades. Un proveedor con ISO 27001 puede verse afectado por violaciones de datos. Un proveedor que no la tenga puede seguir teniendo medidas de seguridad sólidas y adecuadas.
- Las medidas proporcionadas son más honestas. En lugar de aspirar a una certificación que consistiría en gran medida en controles „no aplicables”, Varify invierte en medidas que son realmente relevantes para su arquitectura: infraestructura de entrega segura, alojamiento en la UE, contratos de procesamiento de pedidos conformes con el GDPR y gestión transparente de subprocesadores.
Comparación: dónde tiene sentido la ISO 27001 y dónde no
| Escenario | ¿Es adecuada la norma ISO 27001? | Por qué |
|---|---|---|
| Proveedor de CRM con almacenamiento de datos de clientes | Sí | Almacena y procesa información de identificación personal a gran escala |
| Proveedor de almacenamiento en la nube | Sí | Almacena documentos y archivos confidenciales |
| Proveedor de servicios de pago | Sí | Procesamiento de datos financieros |
| Plataforma analítica con almacén de datos propio | Sí | Almacena datos de comportamiento, potencialmente PII |
| Herramienta de pruebas A/B del lado del cliente sin almacenamiento de datos | Desproporcionado | No se almacenan datos personales, no hay almacén de datos, sólo función de entrega. |
Preguntas más frecuentes (FAQ)
P: ¿Se esforzará Varify por obtener la ISO 27001 en el futuro? R: Evaluamos periódicamente nuestra planificación de certificación. Si nuestra arquitectura evolucionara para almacenar datos personales, la certificación se convertiría en una prioridad. Para nuestra arquitectura actual, nos centramos en medidas que corresponden a nuestro perfil de riesgo real.
P: ¿Pueden cumplimentar nuestro cuestionario de seguridad sin ISO 27001? R: Sí. Respondemos regularmente a las evaluaciones de seguridad de los proveedores y podemos proporcionar información detallada sobre nuestra infraestructura, procesamiento de datos y configuración de cumplimiento. Muchas de las preguntas relacionadas con la norma ISO 27001 se responden con un „no aplicable - no se almacenan datos personales” o se cubren haciendo referencia a las certificaciones de nuestros proveedores de infraestructura.
P: ¿Y la SOC 2? R: Se aplica el mismo argumento de proporcionalidad. Las auditorías SOC 2 Tipo II están diseñadas para proveedores de servicios que almacenan y procesan datos de clientes. Nuestros proveedores de infraestructura (AWS, Cloudflare) tienen certificaciones SOC 2. Para las operaciones propias de Varify -donde no se almacenan datos de clientes- SOC 2 auditaría un entorno de datos que no existe.
P: Nuestra política interna exige la norma ISO 27001 a todos los proveedores, sin excepción. R: Lo entendemos. En la práctica, muchas organizaciones aplican exenciones basadas en el riesgo para los proveedores que no almacenan datos personales. Recomendamos discutir con su equipo de seguridad de la información si la arquitectura de Varify (sin almacenamiento de datos, alojamiento de la UE, proveedores de infraestructura certificados, AVV completo con TOMs) califica para tal exención. Estaremos encantados de apoyar esta discusión con documentación y un recorrido técnico.
Última actualización: Abril 2026 Responsable: Varify Software GmbH