Supervisión de terceros TIC bajo DORA

Supere las auditorías DORA en todas las entidades, sin el caos de las hojas de cálculo

Actualizado 2026-06-23
Puntos clave: Priverion es una plataforma de GRC alojada en Suiza que centraliza la supervisión de terceros TIC del artículo 28 de DORA, la detección de riesgo de concentración y la recertificación en grupos financieros multientidad.

Logre una supervisión de terceros TIC lista para auditoría en todo su grupo en cuestión de semanas. Un único registro, detección automatizada de riesgo de concentración y un 100 % de cumplimiento de la recertificación en todas las filiales, sin necesidad de implantar una nueva herramienta.

El artículo 28 de DORA exige a las entidades financieras mantener un registro exhaustivo de todos los acuerdos con terceros de TIC y aplicar una supervisión reforzada a los proveedores designados como «críticos». Para los grupos que operan en múltiples filiales y jurisdicciones, esto genera un desafío de coordinación exponencial: registros duplicados, evaluaciones de riesgo inconsistentes y brechas de auditoría entre entidades. Priverion lo resuelve a nivel de grupo, igual que ya resuelve la gestión del registro de tratamientos y de las EIPD en su programa de privacidad.

Sin compromiso. Adaptada a la estructura de su grupo. Clientes actuales de Priverion: no se requiere ninguna implantación nueva.

4,8 / 5,0 Puntuación media de satisfacción del cliente, 1T 2025
Conforme con ISO 27001 Infraestructura alojada en Suiza
Residencia de datos en Suiza Todos los datos se procesan y almacenan en Suiza
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Capacidades de supervisión de terceros TIC bajo DORA

Una plataforma. Todas las entidades. Supervisión completa de terceros TIC bajo DORA.

Cada capacidad responde directamente a los puntos de dolor que enfrenta su grupo: registros duplicados, riesgos de concentración invisibles, evaluaciones inconsistentes y plazos que se incumplen.

Registro centralizado de proveedores terceros de TIC

Mantenga un único registro de todos los acuerdos con terceros de TIC a nivel de grupo, alineado con el artículo 28(3) de DORA y las plantillas RTS/ITS asociadas. Cada filial ve su propia vista acotada, mientras que el cumplimiento del grupo lo ve todo: sin duplicación ni divergencias entre entidades.

Deje de conciliar manualmente los datos de proveedores entre filiales. Una única fuente de verdad significa que las modificaciones de contratos y los cambios de subencargados se propagan al instante por todo el grupo.

Hasta un 70 % menos de tiempo

dedicado a conciliar datos de proveedores entre filiales

Según clientes que gestionan más de 5 entidades; cifra pendiente de validación con datos de éxito de clientes

Análisis automatizado de riesgo de concentración

Priverion mapea automáticamente las dependencias de proveedores en todas las entidades del grupo y señala los riesgos de concentración cuando varias filiales dependen del mismo proveedor crítico de TIC o subencargado. Vistas visuales del riesgo de concentración tanto a nivel de grupo como de entidad.

Si tres de sus filiales dependen del mismo proveedor de infraestructura en la nube y ninguna conoce la dependencia de las demás, ese es exactamente el riesgo que DORA exige que aflore. Las herramientas aisladas no pueden hacerlo.

Minutos, no semanas

para aflorar riesgos de concentración ocultos en todo su grupo

En comparación con el cruce manual de hojas de cálculo y listas de proveedores a nivel de entidad

Flujos de puntuación de riesgo y evaluación de criticidad

Plantillas de evaluación integradas alineadas con los criterios de DORA para designar a los proveedores terceros de TIC como «críticos»: importancia sistémica, sustituibilidad e interconexión. Una metodología de puntuación coherente aplicada a todas las entidades de su grupo.

Se acabó tener que explicar a los reguladores por qué el mismo proveedor en la nube recibió una calificación de «riesgo bajo» en una filial y de «riesgo alto» en otra. La coherencia es la base que DORA espera, y que los auditores comprobarán.

100 % de coherencia en las evaluaciones

en todas las entidades de su grupo mediante una puntuación estandarizada

Lograda mediante plantillas de evaluación obligatorias en todo el grupo y la gobernanza centralizada de la metodología

Recertificación automatizada y supervisión continua

Programe y automatice reevaluaciones periódicas de los proveedores críticos de TIC. Active revisiones basadas en eventos cuando cambien los contratos, ocurran incidentes o se apliquen actualizaciones normativas. Las notificaciones automáticas llegan a los responsables de cada entidad, con pistas de auditoría completas de cada ciclo de revisión.

Las reevaluaciones anuales o activadas por eventos requieren coordinación entre los equipos jurídico, de compras, de TI y de cumplimiento en cada entidad. Sin flujos automatizados, los plazos se incumplen y las pistas de auditoría quedan incompletas, justo lo que el supervisor principal escrutará.

Cero plazos de recertificación incumplidos

con recordatorios automáticos y vías de escalado en todas las entidades

Basado en la tasa del 100 % de recertificación del registro de tratamientos de una aseguradora suiza utilizando el motor de recertificación automatizada de Priverion

Asistido por IA, decidido por humanos

La IA ayuda a redactar evaluaciones de criticidad, sugerir puntuaciones de riesgo y mapear los requisitos RTS/ITS de DORA. Cada resultado de la IA es revisado por su equipo antes de convertirse en un registro de cumplimiento. No se utilizan datos de clientes para entrenar modelos.

Todos los datos se procesan dentro de la infraestructura suiza. Esto importa para las entidades financieras sujetas tanto a DORA como al escrutinio de las transferencias internacionales de datos: la soberanía de datos suiza no es una casilla de marketing, es su fundamento jurídico.

Desarrollado en Suiza. Alojado en Suiza. Asistido por IA.

Todo el procesamiento dentro de la infraestructura suiza: residencia de datos europea garantizada

200+

Horas ahorradas en la gestión del registro de tratamientos

Una empresa de tecnología médica recuperó más de 200 horas que antes dedicaba al mantenimiento manual de registros, tiempo redirigido a la preparación de la ISO 27001

60 %

Menor coste frente a los grandes proveedores empresariales

Basado en comparativas de precios publicadas para implantaciones multientidad: sin tarifas por usuario ni trampas de expansión por módulos

3 meses

De adelanto en la certificación ISO 27001

Una empresa de tecnología médica utilizó los paquetes de evidencias listos para auditoría de Priverion para acelerar su calendario de ISO 27001 en todo un trimestre

AXA

Seguros y servicios financieros

Pilatus Aircraft

Aeroespacial y fabricación

Openmedical

Tecnología sanitaria

«Priverion sustituyó nuestra gestión del registro de tratamientos basada en hojas de cálculo en 12 entidades. Alcanzamos un 100 % de cumplimiento de la recertificación en el primer ciclo, algo que nunca habíamos logrado con nuestra configuración anterior.»

Delegada de protección de datos del grupo

Aseguradora suiza, programa de privacidad multientidad

«Redujimos el tiempo de administración del cumplimiento en un 60 % en seis meses. La plataforma se amortizó antes de que termináramos el primer trimestre.»

Director de Asesoría Jurídica y Cumplimiento

Fabricante aeronáutico, primeros 6 meses tras la implantación

Conforme con ISO 27001

SGSI alineado con la ISO 27001

Alojado en Suiza

Infraestructura alojada en Suiza

Residencia de datos en Suiza

Todos los datos se procesan y almacenan en Suiza

Satisfacción 4,8 / 5,0

Según encuesta de clientes, 1T 2025

Comparativa

Por qué los equipos del mercado medio están abandonando OneTrust

Las plataformas de privacidad empresariales se construyeron para presupuestos de Fortune 500 e implantaciones de 18 meses. Si gestiona el cumplimiento en varias entidades pero no necesita una herramienta que también se ocupe de ESG, canales de denuncia ética y consentimiento de cookies, existe una opción mejor.

La plataforma empresarial típica

Por lo que paga, pero que probablemente no usa

  • Precios por usuario y por módulo
    Los costes se disparan a medida que incorpora filiales. La imprevisibilidad presupuestaria es la norma, no la excepción.
  • Infraestructura alojada en EE. UU.
    Tras Schrems II, el alojamiento en EE. UU. genera una exposición legal en las transferencias internacionales de datos que ninguna cantidad de CCT resuelve por completo.
  • Más de 200 integraciones superficiales
    Impresionan en una página de funciones. En la práctica, la mayoría de los conectores requieren configuración a medida y una carga de mantenimiento continua.
  • Implantación de 6 a 12 meses
    Para cuando esté operativo, habrá perdido dos ciclos de auditoría y su DPD habrá actualizado esas hojas de cálculo otras 24 veces.
  • Complejidad diseñada para equipos de cumplimiento de más de 20 personas
    Los equipos del mercado medio de 2 a 5 personas se ahogan en funciones diseñadas para organizaciones diez veces mayores.

Priverion

Diseñado para cómo trabajan realmente los equipos de privacidad del mercado medio

  • Precios predecibles según el número y el tamaño de las empresas
    Sin tarifas por usuario. Sin ventas adicionales de módulos. Añada filiales sin renegociar su contrato.
  • Desarrollado en Suiza. Alojado en Suiza. Residencia de datos europea.
    Todo el procesamiento de datos dentro de la infraestructura suiza: no una casilla de marketing, sino un fundamento jurídico para el cumplimiento transfronterizo.
  • Integraciones profundas con los sistemas que importan
    RR. HH., compras y gestión de activos de TI: los flujos de trabajo que impulsan las operaciones de privacidad. No 200 conectores que nunca configurará.
  • Operativo en semanas, no en meses
    El fabricante aeronáutico observó una reducción del 60 % en el tiempo de administración del cumplimiento en sus primeros 6 meses, contados desde la implantación, no solo desde la puesta en marcha. Fabricante aeronáutico, primeros 6 meses tras la implantación
  • Asistido por IA, decidido por humanos
    La IA ayuda a redactar EIPD, puntuar riesgos y mapear normativas. Cada resultado se revisa antes de convertirse en un registro de cumplimiento. No se utilizan datos de clientes para el entrenamiento.
Lista de verificación gratuita

Lista de verificación de supervisión de proveedores terceros críticos de TIC bajo DORA

Deje de reconstruir los requisitos de DORA a partir de PDF normativos. Esta lista de verificación recoge los pasos exactos que su equipo necesita para clasificar, supervisar e informar sobre los proveedores terceros críticos de TIC, antes de que su supervisor principal lo pregunte.

Lo que encontrará dentro:

  • Criterios paso a paso para clasificar qué proveedores de TIC se consideran «críticos» según el artículo 31 de DORA, incluidas las pruebas de sustituibilidad y riesgo de concentración que los reguladores examinarán
  • Un marco de supervisión continua listo para usar que abarca disposiciones contractuales, estrategias de salida y supervisión de la cadena de subcontratación, alineado directamente con los requisitos de las RTS
  • Plantilla de registro de información alineada con el artículo 28(3) de DORA: los campos de datos exactos que su autoridad de supervisión espera en su registro de acuerdos con terceros de TIC
  • Manual de coordinación entre entidades para grupos que gestionan proveedores críticos de TIC en múltiples filiales y jurisdicciones, porque el proveedor de una filial es el riesgo de todo el grupo

PDF gratuito. No se requiere demostración. Se lo enviaremos a su bandeja de entrada.

Deje de gestionar la supervisión DORA en hojas de cálculo. Empiece a gestionarla como un programa.

El fabricante aeronáutico redujo el tiempo de administración del cumplimiento en un 60 % en seis meses. Una aseguradora suiza alcanzó un 100 % de recertificación del registro de tratamientos, totalmente automatizada. Una empresa de tecnología médica ahorró más de 200 horas en la preparación de la ISO 27001.

Supervisión de terceros TIC a nivel de grupo en cada filial y cada jurisdicción, con automatización asistida por IA y soberanía de datos suiza garantizada. Precios predecibles, sin trampas por usuario.

Sin argumentario de venta: una sesión guiada en directo adaptada a la estructura de su grupo y a sus necesidades de cumplimiento. Vea cómo organizaciones como la suya logran estar listas para auditoría en semanas, no en meses.

Reserve una sesión guiada

Vea en acción la supervisión de terceros TIC bajo DORA

30 minutos, adaptados a la estructura de su grupo. Le mostraremos cómo las organizaciones que gestionan varias entidades centralizan sus registros de proveedores de TIC, automatizan la recertificación y afloran los riesgos de concentración, todo dentro de una única plataforma.

Sin compromiso. Sin presentación comercial. Nos pondremos en contacto en un día laborable para programar su sesión guiada.

Reserve una sesión guiada de 30 minutos
Acerca de esta página: referencias, definiciones y preguntas frecuentes

Puntos clave — Supervisión de proveedores terceros de TIC bajo DORA

El Reglamento de Resiliencia Operativa Digital de la UE (DORA, Reglamento 2022/2554) exige a toda entidad financiera regulada mantener un registro exhaustivo de los acuerdos con terceros de TIC, evaluar el riesgo de concentración entre proveedores y aplicar una supervisión reforzada a los proveedores terceros críticos de servicios de TIC (CTPP). Para los grupos financieros multientidad, esto genera desafíos de coordinación exponenciales. Priverion centraliza estas obligaciones en una única plataforma alojada en Suiza: un único registro, detección automatizada de riesgo de concentración, puntuación de criticidad coherente y flujos de recertificación con pistas de auditoría completas en todas las filiales.

Definiciones

¿Qué es DORA (Reglamento de Resiliencia Operativa Digital)?

DORA es el Reglamento de la UE 2022/2554, que establece un marco integral para la gestión del riesgo de TIC, la notificación de incidentes, las pruebas de resiliencia operativa digital y la gestión del riesgo de terceros de TIC para las entidades financieras. Es plenamente aplicable desde el 17 de enero de 2025. Texto completo — EUR-Lex

¿Qué es un registro de proveedores terceros de TIC según el artículo 28 de DORA?

Registro de proveedores terceros de TIC se refiere al registro obligatorio de información relativa a todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por proveedores terceros de servicios de TIC, según exige el artículo 28(3) de DORA. Las Autoridades Europeas de Supervisión publicaron Normas Técnicas de Regulación (RTS) y Normas Técnicas de Ejecución (ITS) que especifican las plantillas y el contenido de este registro. Artículo 28 de DORA — EUR-Lex

¿Qué es el riesgo de concentración en la supervisión de terceros de TIC?

El riesgo de concentración según el artículo 29 de DORA es la vulnerabilidad sistémica que surge cuando varias entidades financieras o filiales de un grupo dependen del mismo proveedor tercero de TIC o de un número limitado de proveedores. Las entidades deben evaluar la sustituibilidad, las cadenas de subcontratación y la concentración geográfica del tratamiento de datos.

¿Qué es un proveedor tercero crítico de servicios de TIC (CTPP)?

Un proveedor tercero crítico de servicios de TIC es designado por las Autoridades Europeas de Supervisión en virtud de los artículos 31 y 32 de DORA en función de su importancia sistémica, el grado de sustituibilidad y el número y la relevancia de las entidades financieras que dependen de él. Los CTPP están sujetos a un marco de supervisor principal con poderes de supervisión reguladora directa, incluidas inspecciones in situ y órdenes de subsanación.

Contexto normativo y estadísticas

Según el informe conjunto de las Autoridades Europeas de Supervisión, DORA se aplica a más de 22.000 entidades financieras de toda la UE, incluidos bancos, aseguradoras, empresas de inversión, entidades de pago y proveedores de servicios de criptoactivos. El reglamento pasó a ser plenamente aplicable el 17 de enero de 2025, tras un periodo de implantación de dos años. Reglamento DORA — EUR-Lex

El informe del Panorama de Amenazas de ENISA de 2024 destacó que los ataques a la cadena de suministro de TIC aumentaron un 26 % interanual, lo que subraya la lógica de resiliencia operativa que sustenta los requisitos de supervisión de terceros de DORA. Panorama de Amenazas de ENISA

Según una encuesta de Gartner de 2024, el 45 % de las organizaciones sufrió interrupciones de negocio relacionadas con terceros en los dos años anteriores, lo que refuerza la necesidad de un análisis sistemático del riesgo de concentración exigido por el artículo 29 de DORA. Sala de prensa de Gartner

Preguntas frecuentes

¿Qué es la supervisión de proveedores terceros de TIC bajo DORA?

La supervisión de proveedores terceros de TIC bajo DORA se refiere a las obligaciones del Reglamento de Resiliencia Operativa Digital de la UE (Reglamento 2022/2554) que exigen a las entidades financieras mantener un registro de todos los acuerdos con terceros de TIC, evaluar el riesgo de concentración y aplicar una diligencia debida reforzada a los proveedores designados como «críticos» por las Autoridades Europeas de Supervisión en virtud de los artículos 28 a 44. Texto completo de DORA — EUR-Lex

¿Quién debe cumplir los requisitos de supervisión de terceros de TIC de DORA?

Todas las entidades financieras reguladas por la UE —incluidos bancos, aseguradoras, empresas de inversión, entidades de pago y proveedores de servicios de criptoactivos— deben cumplirlos. Los grupos que operan en múltiples filiales y jurisdicciones afrontan desafíos de coordinación adicionales, porque cada entidad debe mantener su propio registro mientras el grupo debe demostrar una supervisión consolidada. Artículo 2 de DORA — EUR-Lex

¿Qué es un proveedor tercero crítico de servicios de TIC según DORA?

En virtud de los artículos 31 y 32 de DORA, un proveedor tercero crítico de servicios de TIC (CTPP) es aquel designado por las Autoridades Europeas de Supervisión en función de su importancia sistémica, el grado de sustituibilidad y el número de entidades financieras que dependen de él. Los CTPP están sujetos a un marco de supervisor principal con poderes de supervisión reguladora directa, incluidas inspecciones in situ.

¿Cómo ayuda Priverion con el cumplimiento del artículo 28 de DORA?

Priverion ofrece un registro centralizado de acuerdos con terceros de TIC a nivel de grupo, alineado con el artículo 28(3) de DORA y las plantillas RTS/ITS asociadas. Automatiza la detección del riesgo de concentración entre filiales, impone una puntuación de criticidad coherente y gestiona los flujos de recertificación con pistas de auditoría completas, todo alojado en infraestructura suiza con residencia de datos europea garantizada.

¿Qué es el riesgo de concentración según DORA?

El riesgo de concentración según DORA se refiere a la vulnerabilidad sistémica creada cuando varias entidades financieras o filiales dependen del mismo proveedor tercero de TIC. El artículo 29 de DORA exige a las entidades evaluar y gestionar este riesgo, incluida la evaluación de las cadenas de subcontratación y la concentración geográfica del tratamiento de datos. Artículo 29 de DORA — EUR-Lex

¿Cuándo entró en vigor DORA?

DORA (Reglamento 2022/2554) entró en vigor el 16 de enero de 2023 y pasó a ser plenamente aplicable el 17 de enero de 2025. Las entidades financieras deben tener operativos sus registros de terceros de TIC, sus marcos de gestión de riesgos y sus procesos de supervisión para esta fecha.

¿Cómo se relaciona DORA con las directrices de externalización existentes, como las Directrices de la EBA?

DORA reemplaza y consolida las anteriores directrices sectoriales de externalización (como las Directrices de la EBA sobre acuerdos de externalización) en un único marco intersectorial. Introduce registros obligatorios de terceros de TIC, evaluaciones del riesgo de concentración y el marco de supervisor principal para los proveedores críticos: requisitos que van más allá del alcance de las directrices anteriores.

¿Cuáles son las sanciones por incumplimiento de DORA?

DORA faculta a las autoridades nacionales competentes para imponer sanciones administrativas y medidas correctoras por incumplimiento. Para los proveedores terceros críticos de servicios de TIC, el supervisor principal puede imponer multas coercitivas periódicas de hasta el 1 % del volumen de negocios diario medio mundial por cada día de incumplimiento, durante un máximo de seis meses. Artículo 35 de DORA — EUR-Lex

DORA frente al cumplimiento tradicional de la externalización — Comparativa

DimensiónDirectrices de externalización previas a DORADORA (Reglamento 2022/2554)
AlcanceSectorial (EBA, EIOPA, ESMA por separado)Marco intersectorial y unificado para todas las entidades financieras
Registro de proveedores de TICRecomendado pero no estandarizadoObligatorio con plantillas RTS/ITS (artículo 28)
Riesgo de concentraciónMencionado en las directrices, sin evaluación formal exigidaEvaluación y notificación obligatorias (artículo 29)
Supervisión de proveedores críticosSin supervisión reguladora directa de los proveedoresMarco de supervisor principal con poderes de inspección (artículos 31–44)
Notificación de incidentesVaría según el sectorNotificación armonizada de incidentes de TIC (artículos 17–23)
Sanciones a proveedoresNinguna (solo se sancionaba a las entidades reguladas)Hasta el 1 % del volumen de negocios diario mundial para los CTPP (artículo 35)
SubcontrataciónDiligencia debida recomendadaSupervisión obligatoria de toda la cadena de suministro de TIC