| Versión vigente | ISO/IEC 27001:2022 |
|---|---|
| Qué certifica | Un SGSI (Sistema de Gestión de Seguridad de la Información) |
| Controles del Anexo A | 93, en 4 temas: organizativos, personas, físicos, tecnológicos |
| Documento clave | Declaración de Aplicabilidad (SoA) |
| Ciclo de certificación | Auditoría inicial (Etapa 1 + 2) · seguimiento anual · recertificación cada 3 años |
| Transición 2013 → 2022 | Periodo cerrado el 31 de octubre de 2025 |
Integrar es mover datos fuera de su sitio
Cuando conectas tu ecommerce con tu ERP, tu CRM con tu facturación o tu ERP con un agente de IA, pasa una cosa que es fácil de pasar por alto: los datos salen del sistema donde vivían protegidos y viajan por la red hasta otro sistema. Nombres, NIF, importes, direcciones, correos. En ese trayecto es donde una integración descuidada se convierte en un problema de seguridad.
ISO 27001 es el marco internacional de referencia para gestionar la seguridad de la información, y no es exclusivo de grandes empresas ni de España: es el estándar que muchas compañías exigen a sus proveedores en todo el mundo. No hace falta estar certificado para aplicar lo que importa. Estos son los controles del Anexo A que tocan de lleno a cualquier proyecto de integración, qué significan cuando mueves datos entre sistemas y qué hacemos nosotros en cada uno.
Uso de criptografía
Cada vez que un dato viaja de un sistema a otro, viaja por una red que no controlas. Si va en claro, cualquiera en el camino puede leerlo.
TLS 1.2+ extremo a extremo en toda llamada, sin excepciones ni HTTP plano entre servicios. Cualquier copia intermedia (colas, staging, caché) va cifrada en reposo.
Información de autenticación
Una integración se autentica con una clave de API o un token. Esa credencial es la llave de la casa: quien la tiene, entra.
Claves en un gestor de secretos, nunca en el código ni en el navegador. Rotación periódica y ante cualquier sospecha de fuga. Una credencial por integración, revocable de forma aislada.
Control de acceso y gestión de identidades
La tentación es usar la clave de administrador porque «funciona con todo». Si esa clave se filtra, se filtra el ERP entero.
Mínimo privilegio real: cada flujo recibe una credencial acotada a lo que necesita (solo lectura si solo lee, solo los recursos que toca). El scope se decide a propósito, no por defecto.
Transferencia de información
Una integración mal pensada arrastra el registro completo de un sistema a otro «por si acaso». Cada campo de más es una superficie de riesgo de más.
Minimización de datos: solo viajan los campos que el destino necesita de verdad. Los flujos de datos quedan documentados (qué sale, hacia dónde, con qué base legal).
Registro de eventos y seguimiento
Sin trazas, una integración es una caja negra: no sabes si una factura se duplicó, si un webhook falló en silencio o si alguien está probando credenciales.
Cada sincronización deja registro consultable y a prueba de manipulación. Alertas ante anomalías: picos de fallos de autenticación, colas atascadas, reintentos que no cierran.
Proveedores y cadena de suministro TIC
Al conectar tus sistemas, nosotros somos un proveedor que toca tus datos. Y detrás hay más: el hosting, n8n Cloud, la pasarela. Todos entran en el alcance.
Contrato y acuerdo de encargo de tratamiento (DPA) por escrito. Revisión de los subprocesadores que intervienen en el flujo y de dónde se alojan los datos (dentro o fuera del EEE).
Prevención de fuga de datos y protección de PII
El sitio donde más se filtran datos personales sin querer no es la base de datos: son los logs. Un payload volcado entero a un log deja NIF, emails y direcciones a la vista.
Nunca se vuelca el payload completo con datos personales. Se registra lo justo para depurar, con los campos sensibles enmascarados. Todo alineado con lo que exige el RGPD.
Borrado de información y enmascaramiento
Las integraciones dejan copias por el camino: colas, entornos de pruebas, backups. Datos reales de clientes viviendo en sitios que nadie vuelve a mirar.
Retención definida por flujo y borrado real cuando toca. Fuera de producción se trabaja con datos enmascarados o sintéticos, no con la base de clientes real.
Certificarse y cumplir no son lo mismo
Conviene separar dos cosas que se confunden a menudo. Certificarse en ISO 27001 es un proceso formal: montas un sistema de gestión, lo documentas y una entidad acreditada te audita y te da el sello. Aplicar los controles es lo que de verdad protege los datos, y se puede (y se debe) hacer aunque no persigas la certificación. Para una micro el sello no siempre compensa; para una empresa que vende a clientes grandes suele ser un requisito de entrada. Nosotros no vendemos certificaciones: diseñamos integraciones que aplican estos controles desde el primer día, y si tu caso exige certificación formal lo tenemos en cuenta en el alcance.
Preguntas frecuentes
¿Necesito estar certificado en ISO 27001 para integrar mis sistemas?
No. La certificación es un proceso formal (auditoría por entidad acreditada, coste y meses de trabajo) que tiene sentido cuando tus clientes te la exigen o compites por contratos grandes. Aplicar los controles del Anexo A es otra cosa: puedes (y deberías) hacer las integraciones con cifrado en tránsito, mínimo privilegio, secretos gestionados y trazabilidad aunque no tengas el sello. La certificación demuestra que lo haces; los controles son lo que de verdad protege los datos.
¿ISO 27001 y RGPD son lo mismo?
No, son complementarios. El RGPD es una ley europea de obligado cumplimiento centrada en los datos personales: qué puedes tratar, con qué base legal y qué derechos tienen las personas. ISO 27001 es un estándar internacional voluntario y más amplio: un sistema de gestión para proteger cualquier información (personal o no) frente a pérdida, acceso indebido o manipulación. En la práctica se refuerzan: muchos controles del Anexo A (cifrado, minimización, protección de PII, borrado) son también la forma de cumplir el RGPD a nivel técnico.
¿Qué versión de ISO 27001 está vigente en 2026?
La ISO/IEC 27001:2022. El periodo de transición desde la versión de 2013 cerró el 31 de octubre de 2025, así que cualquier certificación viva a día de hoy está sobre la 2022. El cambio principal del Anexo A es que pasó de 114 a 93 controles reorganizados en cuatro temas (organizativos, personas, físicos y tecnológicos) e incorporó controles nuevos muy relevantes para integraciones: seguridad en servicios cloud, prevención de fuga de datos, enmascaramiento, borrado de información, monitorización y codificación segura.
¿Cuánto cuesta y cuánto tarda certificarse en ISO 27001?
Depende mucho del tamaño y del alcance que definas, pero como orden de magnitud: para una empresa pequeña suele hablarse de varios meses de trabajo para montar el sistema de gestión (SGSI) más el coste de la auditoría de certificación por una entidad acreditada, con auditorías de seguimiento anuales y recertificación cada tres años. Para una micro no siempre compensa el sello: a veces basta con demostrar que aplicas los controles y cumples el RGPD. La decisión suele venir de fuera, cuando un cliente grande te lo pone como requisito para trabajar con él.
¿Son seguros los conectores tipo n8n, Zapier o Make bajo ISO 27001?
Pueden serlo, pero la herramienta no te da el control por sí sola: el control lo pones tú en cómo la usas. La diferencia clave es dónde viven los datos. Un iPaaS en la nube de un tercero mete a ese proveedor en tu cadena de suministro (control A.5.21) y hace que tus datos pasen por su infraestructura. n8n autoalojado deja el dato en tu propio servidor, lo que simplifica mucho el alcance y encaja mejor con clientes sensibles a dónde se procesa su información. En ambos casos siguen aplicando secretos gestionados, mínimo privilegio y logs sin datos personales en claro.
¿Cómo afectan los agentes de IA y el protocolo MCP a ISO 27001?
Son una superficie nueva, pero los controles son los de siempre. Cuando conectas un agente (por ejemplo vía MCP, el protocolo que deja a un asistente leer y actuar sobre sistemas externos con permisos tipados), estás dando a un modelo acceso a datos reales. Aplica exactamente el mismo criterio: credenciales acotadas y de solo lectura cuando basta con leer, trazabilidad de cada acción del agente, minimización de lo que el modelo llega a ver y control de a qué proveedor se envían esos datos. Lo nuevo es el actor; el marco de seguridad no cambia.
¿Estáis certificados en ISO 27001?
No afirmamos tener la certificación ISO 27001, porque sería falso decirlo sin el sello de una entidad acreditada. Lo que sí hacemos es diseñar cada integración aplicando los controles del Anexo A que hemos descrito: cifrado en tránsito, secretos gestionados, mínimo privilegio, minimización de datos, trazabilidad y logs sin datos personales en claro. Si tu proyecto exige certificación formal (tuya o de tus proveedores) lo hablamos en el diagnóstico y lo tenemos en cuenta en el alcance.
Lecturas relacionadas
Aviso: este post es una guía divulgativa sobre cómo aplicamos los controles de ISO 27001:2022 al diseñar integraciones. No es un servicio de auditoría ni de certificación, y no afirmamos poseer la certificación ISO 27001. Para un proceso de certificación formal necesitas una entidad acreditada.
Juan Cantón Rodríguez
Founder & lead developer de Francodesystems. Diseña integraciones con foco en seguridad desde día 1: cifrado en tránsito, secretos gestionados, mínimo privilegio y trazabilidad. Mantiene n8n-nodes-holded.