Escrito por HubSecure Editorial Team

Guías prácticas para portales de clientes seguros, RBAC, incorporación y operaciones de clientes regulados.

Revisado por HubSecure Security & Compliance Review

Revisado para determinar el posicionamiento de seguridad, la precisión del flujo de trabajo y la claridad de la implementación.

Última actualizaciónMay 7, 2026

Comprobado contra el sitio de marketing HubSecure y posicionamiento de productos.

Las plataformas de gestión de relaciones con los clientes son, por su naturaleza, repositorios de datos personales. Para las empresas reguladas, las firmas de leyes, las fintech, los proveedores de atención médica, los datos del CRM pueden incluir comunicaciones legalmente privilegiadas, información sanitaria, registros financieros y datos del AML/KYC. Por lo tanto, la participación de una violación de datos CRM o transferencia de datos no compatibles es desproporcionadamente alta.

Esta guía está escrita para funcionarios de categoría superior, oficiales de cumplimiento y asociados superiores encargados de evaluar la seguridad de los datos de la CRM y asegurar el cumplimiento del RGPD.

Relacionados HubSecure

CRM CRM guía CRM cumplimiento CRM para empresas crecientes CRM módulo HubSpot cumplimiento de la comparación CRM guía guía Guía Biblioteca reservar un flujo de trabajo

Mejor ajuste y no mejor ajuste

MejorNo es mejor para
Equipos regulados que necesitan registros de clientes, archivos seguros, propiedad del flujo de trabajo, RBAC y historial de auditoría juntos.Equipos que sólo necesitan una herramienta única y no necesitan operaciones de cliente gobernadas o pruebas de cumplimiento.

Seguridad relacionada, privacidad y recursos de gobernanza

Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.

Caso de uso relacionado

Esta guía pertenece al grupo de Guías de Compliance CRM. Continúe con el centro de productos para conocer el cumplimiento de CRM.

Los cinco mayores riesgos de seguridad de datos de CRM

Alto

Transferencias internacionales de datos sin garantías adecuadas

HubSpot y Salesforce son empresas estadounidenses. A menos que haya firmado las Cláusulas Contractuales Estándar (SCC) y realizado una Evaluación de Impacto de Transferencia (TIA), sus transferencias de datos CRM a EE.UU. pueden ser ilegales bajo el Capítulo V del RGPD. Después de la sentencia de Schrems II y la invalidación del Escudo de Privacidad, el Marco de Privacidad de Datos UE-Estados Unidos (DPF) proporciona una base legal, pero sólo si su proveedor está certificado. Check: ¿La certificación DPF de referencia de su proveedor o Módulo 2 SCCs?

Alto

Formación de inteligencia artificial en los datos de su cliente

Tanto HubSpot como Salesforce han lanzado características de IA que, en algunas configuraciones, entrenan en sus datos. Por defecto, algunas de estas características están habilitadas. Si los datos de los clientes se utilizan para formar un modelo que podría sacar información de las cuentas, esto es un grave riesgo de incumplimiento. Compruebe: leer cuidadosamente la política de AI de su proveedor. ¿Es la formación opt-in o la exclusión? ¿Está cubierto en el DPA?

Alto

Cadenas subprocesadoras incontroladas

Los CRM de las empresas suelen tener cientos de subprocesadores. La lista de subprocesadores de HubSpot corre a más de 200 proveedores. Cada subprocesador representa una posible transferencia de datos y un posible vínculo débil en la cadena de protección de datos. Bajo el Artículo 28 del RGPD, usted es responsable de todos los subprocesadores que su procesador utiliza. ¿Está revisando esta lista anualmente?

Mediana

Necesidades de retención y eliminación

La mayoría de los CRM no eliminan automáticamente los datos basados en sus horarios de retención. Los datos se sientan en el CRM indefinidamente a menos que se elimina manualmente o se configura una regla de retención personalizada. Para las empresas reguladas con estrictas obligaciones de retención (5 años para los registros de LMA, 7 años para los registros financieros), esto crea una brecha de cumplimiento: el CRM puede tener datos que deberían haber sido eliminados.

Mediana

Control de acceso y privilegios

Los derechos de acceso a la CRM tienden a crecer con el tiempo. Los usuarios obtienen acceso que ya no necesitan; los antiguos empleados no son desprovistos rápidamente; las integraciones externas acumulan acceso de lectura/escritura. El acceso a los datos personales debe limitarse a aquellos que lo necesiten — "necesidad de saber"— y los derechos de acceso deben ser revisados periódicamente.

HubSpot, Salesforce y HubSecure : una comparación de DPO

HubSpot

  • ~ Singapur hospedado, infraestructura de la UE llegando Q3 2026 disponible sólo en el nivel de la empresa
  • ✓ EU-US DPF certificado + SCC disponibles
  • ~ AI Copilot características opt-out requerido (no opt-in)
  • subprocesadores ✗ 200+: alto peso de auditoría
  • ✗ Ningún módulo nativo AML/KYC
  • ✗ No hay encriptación de extremo a extremo para contactos
  • ~ Las políticas de retención requieren propiedades personalizadas manuales

Salesforce

  • ~ Infraestructura de la UE que llega a Q3 2026 a través de Hyperforce (costo adicional)
  • ✓ EU-US DPF certificado + SCCs
  • ~ Einstein AI - entrenamiento opt-out a través de configuración de administración
  • ✗ 300+ subprocesadores - carga de auditoría muy alta
  • ✗ No nativo AML/KYC
  • ✓ Cifrado de escudos adicionales disponibles
  • ~ Retención requiere automatización de flujo de trabajo personalizado

HubSecure

  • ✓ Infraestructura de la UE Q3 2026, Singapur ahora
  • GDPR DPA included — no separate negotiation
  • ✓ B05 utiliza sólo sus datos — sin entrenamiento de cuenta cruzada
  • ✓ Cadena mínima de subprocesadores - lista transparente
  • ✓ AML/KYC nativo con 27 registros UBO
  • ✓ ML-KEM-768 correo cifrado + Vault
  • ✓ Horarios de retención automatizados por categoría de datos

Qué debe contener su DPA con un proveedor de CRM

Según el artículo 28 del RGPD, cualquier proveedor de CRM que procesa datos personales en su nombre es un procesador de datos, y usted debe tener un acuerdo de procesamiento de datos escrito (DPA). El DPA debe cubrir:

  • Asunto y duración del procesamiento
  • Naturaleza y propósito del procesamiento
  • Tipo de datos personales y categorías de sujetos de datos
  • Obligaciones y derechos del controlador (su organización)
  • Procesando sólo en sus instrucciones documentadas
  • Obligaciones de confidencialidad de todas las personas autorizadas
  • Aplicación de medidas técnicas y organizativas apropiadas (artículo 32)
  • Condiciones para la participación de subprocesadores , incluyendo la autorización escrita
  • Asistencia con solicitudes de derechos de emisión de datos (acceso, borrado, portabilidad)
  • Asistencia con obligaciones de seguridad, notificación de incumplimiento, DPIA y consulta previa
  • Eliminación o devolución de datos sobre terminación de servicios
  • Suministro de información y cooperación de auditoría con las auditorías

Muchos DPA de CRM fuera de la plataforma proporcionados por los proveedores estadounidenses se redactan principalmente en su interés. Preste especial atención al mecanismo de aprobación del subprocesador: "autorización por escrito general" es común, pero debe recibir 30 días de aviso de nuevos subprocesadores y tener derecho a oponerse.

La Evaluación de Impacto de la Transferencia (TIA) para CRM con sede en EE. UU.

Si su proveedor de CRM está sujeto a la ley estadounidense —que incluye FISA 702 y los poderes ejecutivos de vigilancia 12333— debe realizar una evaluación del impacto de transferencia al confiar en los SCC. The TIA must assess:

  1. Las categorías y la sensibilidad de los datos transferidos
  2. The legal framework of the destination country and its intelligence access laws
  3. Si las medidas complementarias (encriptación, pseudonymización) pueden proteger eficazmente los datos
  4. Si la transferencia puede proceder o debe suspenderse

El Marco de Privacidad de Datos UE-Estados Unidos reduce (pero no elimina) las obligaciones de TIA para las transferencias certificadas por DPF. Si su proveedor está certificado por DPF, documente esto en su RoPA y mantenga una copia de su certificación.

Lista de verificación de auditoría de CRM de 15 puntos del DPO

  • 1 Confirme el acuerdo firmado con todos los requisitos del artículo 28
  • 2 Verificar la residencia de datos — UE, Estados Unidos u otros
  • 3 Chequee la certificación EU-US DPF o confirme que SCCs están en su lugar
  • 4 Evaluación de los efectos de transferencia o actualización
  • 5 Lista de subprocesadores de examen — identificar procesadores de alto riesgo
  • 6 Check AI / Ajustes de exclusión ML: no verifique ningún entrenamiento de cuenta cruzada
  • 7 Derechos de acceso a los auditores: licencias de deprovisión, niveles de privilegios
  • 8 Confirme que el MFA se aplica para todos los usuarios de CRM
  • 9 Compruebe el cifrado en reposo y en tránsito (TLS 1.2+)
  • 10 Mapa CRM procesamiento en su registro de actividades de procesamiento
  • 11 Verificar el flujo de trabajo de solicitud de derechos de emisión de datos (respuesta en 30 días)
  • 12 Configurar o verificar los horarios de retención — eliminación de pruebas
  • 13 Revisión de la notificación de incumplimiento SLA en DPA (72 horas para informarle)
  • 14 Chequee los registros de auditoría — ¿se han registrado y retenido acciones de administración?
  • 15 Evaluar si se requiere un DPIA para el procesamiento de alto riesgo en el CRM
HubSecure

A CRM built for DPOs, not just sales teams

HubSecure barcos con un DPA del GDPR en el primer día, una cadena de subprocesador mínima, horarios de retención automatizados, y ningún entrenamiento de AI en los datos de sus clientes. No hay negociación separada del DPA, no hay ansiedad de evaluación del impacto de transferencia.

Reserva una demostración → Security overview