Volver al blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Cómo documentar el uso de proxies para cumplimiento: plantillas y políticas de seguridad

Guía completa para documentar el uso de servidores proxy para cumplir con los requisitos de compliance: plantillas de políticas, registros de acceso y recomendaciones prácticas.

📅3 de marzo de 2026
```html

Si su empresa maneja datos personales de clientes, acepta pagos o está sujeta a auditorías de seguridad, la documentación del uso de servidores proxy se convierte en un requisito obligatorio. La falta de la documentación adecuada puede resultar en multas de hasta 20 millones de euros por GDPR o la pérdida de certificación PCI DSS.

En esta guía, analizaremos cómo documentar correctamente el uso de proxies para cumplir con los requisitos de los reguladores, qué políticas es necesario crear y cómo llevar registros de acceso. Obtendrá plantillas de documentos listas y listas de verificación para la implementación.

Por qué la documentación de proxies es crítica para el cumplimiento

Los servidores proxy a menudo se convierten en un "punto ciego" en la documentación de seguridad corporativa. Las empresas describen cuidadosamente los procesos de trabajo con bases de datos, pero olvidan documentar cómo sus empleados o sistemas acceden a recursos externos a través de proxies.

El problema se vuelve crítico en varias situaciones:

  • Auditoría de seguridad de la información: Los auditores de ISO 27001 o SOC 2 requieren confirmación de que todos los canales de acceso a los datos están documentados y controlados. El proxy es un canal de acceso.
  • Investigación de incidentes: En caso de filtraciones de datos o sospechas de fraude, necesita demostrar quién, cuándo y por qué utilizó el proxy para acceder a ciertos recursos.
  • Verificación de GDPR: Si procesa datos de ciudadanos de la UE a través de proxies en otros países, necesita documentar la legalidad de la transferencia de datos transfronteriza.
  • Certificación PCI DSS: Para las empresas que aceptan pagos con tarjeta, todos los puntos de acceso a datos de tarjetas deben estar documentados, incluidos los servidores proxy.

Un ejemplo real: en 2022, una empresa fintech europea recibió una advertencia del regulador por la falta de documentación sobre cómo su sistema de monitoreo de riesgos utiliza proxies para verificar transacciones. Se evitó la multa solo después de crear urgentemente un paquete completo de documentos y registros retrospectivos de 12 meses.

Importante: La documentación debe crearse ANTES de comenzar a usar proxies, no en el momento de la auditoría. La creación retrospectiva de documentos siempre genera sospechas entre los auditores.

Qué requisitos regulatorios afectan a los proxies

Diversos estándares regulatorios establecen requisitos específicos para la documentación del uso de servidores proxy. Aquí están los principales con los que se enfrenta el negocio:

GDPR (Reglamento General de Protección de Datos)

Si utiliza proxies para procesar datos personales de ciudadanos de la UE, debe documentar:

  • Los fines del uso de proxies (artículo 5.1.b — limitación de la finalidad)
  • La ubicación geográfica de los servidores proxy (artículo 44 — transferencia transfronteriza de datos)
  • Las medidas de seguridad para proteger los datos durante la transmisión a través de proxies (artículo 32)
  • Los contratos con el proveedor de proxy como procesador de datos (artículo 28)
  • Registros de acceso para garantizar la rendición de cuentas (artículo 5.2)

Un ejemplo práctico: si su departamento de marketing utiliza proxies residenciales para analizar a los competidores en diferentes países de la UE, y al mismo tiempo recopila datos sobre precios o surtido (que pueden contener indirectamente datos personales), necesita una política de uso de proxies compatible con GDPR.

PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago)

Para las empresas que procesan pagos, los requisitos de PCI DSS versión 4.0 incluyen:

  • Requisito 1.2.1: Documentar todas las conexiones permitidas entre el entorno de datos de tarjetas y redes externas (el proxy es tal conexión)
  • Requisito 10.2: Mantener registros de todas las acciones de los usuarios con derechos de administrador, incluyendo la gestión de proxies
  • Requisito 12.3: Política de uso de tecnologías, incluidos los servidores proxy

ISO 27001 (Sistema de Gestión de Seguridad de la Información)

El estándar requiere documentación en el contexto del control A.13.1.1 (gestión de elementos de seguridad de red):

  • Inventario de todos los servidores proxy y sus configuraciones
  • Procedimientos de gestión de acceso a proxies
  • Monitoreo del uso y detección de anomalías
  • Revisión regular de políticas (mínimo anualmente)

152-FZ "Sobre datos personales" (Rusia)

La legislación rusa requiere documentar:

  • Modelo de amenazas a la seguridad de los datos personales (proxy como medio de protección o amenaza potencial)
  • Especificaciones técnicas para la creación o modernización de un sistema de información (si el proxy es parte de él)
  • Actos de clasificación y categorización de sistemas de información
Estándar Documento clave Frecuencia de actualización
GDPR Registro de procesamiento de datos (ROPA) Con cambios
PCI DSS Diagrama de flujo de datos Anualmente
ISO 27001 Política de seguridad de la información Anualmente
152-FZ Modelo de amenazas Cada 3 años

Plantilla de política de uso de servidores proxy

La política de uso de proxies es un documento básico que define las reglas, responsabilidades y procedimientos. Aquí está la estructura de la política, adaptada a los requisitos de cumplimiento:

1. Disposiciones generales

Nombre del documento: Política de uso de servidores proxy

Versión: 1.0

Fecha de aprobación: [fecha]

Persona aprobadora: [cargo y nombre completo, por ejemplo: Director de Seguridad de la Información]

Fecha de la próxima revisión: [fecha dentro de 12 meses]

Objetivo de la política: Definir las reglas para el uso de servidores proxy para garantizar la seguridad, privacidad y cumplimiento de los requisitos regulatorios al acceder a recursos externos y procesar datos.

Ámbito de aplicación: La política se aplica a todos los empleados, contratistas y sistemas automatizados de la empresa que utilizan servidores proxy para acceder a recursos de internet o procesar datos.

2. Fines permitidos del uso de proxies

Los servidores proxy solo pueden utilizarse para los siguientes fines comerciales:

  • Monitoreo de competidores: Recopilación de información públicamente disponible sobre precios, surtido y actividades de marketing de competidores para análisis de mercado (departamentos: marketing, producto).
  • Pruebas de servicios web: Verificación de la disponibilidad y correcto funcionamiento de los propios recursos web desde diferentes regiones geográficas (departamentos: desarrollo, QA).
  • Verificación de campañas publicitarias: Comprobación de la visualización de anuncios en diferentes regiones y en diferentes dispositivos (departamento: marketing).
  • Protección contra DDoS: Ocultación de las direcciones IP de los sistemas corporativos al acceder a API externas (departamento: IT).
  • Garantía de anonimato: Protección de los datos personales de los empleados al realizar investigaciones o trabajar con información sensible (departamento: seguridad, cumplimiento).

Prohibido: Uso de proxies para eludir políticas de seguridad corporativa, acceder a recursos prohibidos, ocultar actividades no autorizadas o cualquier acción que infrinja la legislación.

3. Tipos de proxies y su aplicación

Tipo de proxy Tareas permitidas Requisitos de datos
Proxies residenciales Monitoreo de competidores, verificación de publicidad, pruebas desde diferentes regiones Solo datos públicos, sin PII
Proxies móviles Pruebas de aplicaciones móviles, verificación de publicidad móvil Solo datos públicos, sin PII
Proxies de centros de datos Raspado automatizado, verificación masiva de disponibilidad de recursos Solo datos públicos, alta velocidad

4. Procedimiento para obtener acceso a proxies

Cualquier empleado que necesite acceso a los servidores proxy debe seguir el siguiente procedimiento:

  1. Solicitud: Completar un formulario de solicitud de acceso indicando la justificación comercial, el tipo de proxy y el plazo de uso.
  2. Aprobación del supervisor: Aprobación por parte del supervisor inmediato del departamento.
  3. Verificación de cumplimiento: Evaluación de la solicitud por parte del departamento de seguridad de la información o cumplimiento para verificar su conformidad con la política.
  4. Entrega de credenciales: El departamento de IT proporciona acceso con credenciales únicas para cada usuario.
  5. Capacitación: El empleado recibe una breve capacitación sobre el uso seguro de proxies (puede ser en forma de video o documento).

Plazo para la revisión de la solicitud: No más de 3 días hábiles desde la presentación.

5. Responsabilidades y roles

  • Director de Seguridad de la Información (CISO): Aprobación de la política, control de cumplimiento, coordinación de auditorías.
  • Departamento de IT: Implementación técnica, entrega de accesos, monitoreo de la infraestructura de proxies.
  • Oficial de cumplimiento: Verificación de la conformidad del uso de proxies con los requisitos regulatorios, mantenimiento de la documentación.
  • Jefes de departamento: Aprobación de solicitudes de sus empleados, control del uso adecuado.
  • Usuarios finales: Cumplimiento de la política, notificación inmediata de cualquier incidente o actividad sospechosa.

Registros de acceso y monitoreo: qué registrar

Llevar registros (logs) del uso de proxies no es solo una necesidad técnica, sino un requisito obligatorio de la mayoría de los estándares de cumplimiento. Los logs permiten rastrear quién, cuándo y para qué fines utilizó el proxy, así como detectar anomalías o accesos no autorizados.

Campos obligatorios del registro de acceso

Cada entrada en el registro debe contener los siguientes datos:

Campo Descripción Ejemplo
Timestamp Fecha y hora de conexión (UTC) 2024-01-15 14:23:45 UTC
User ID Identificador único del usuario user_12345 o ivanov@company.com
Proxy IP Dirección IP del proxy utilizado 185.123.45.67
Proxy Location Ubicación geográfica del proxy DE, Frankfurt
Target URL Recurso objetivo (dominio, sin URL completa por privacidad) example.com
Session Duration Duración de la sesión 00:15:32
Data Volume Volumen de datos transferidos 15.3 MB
Purpose Code Código de propósito de uso de la política COMP_MONITOR (monitoreo de competidores)
Status Estado de finalización de la sesión SUCCESS / ERROR / BLOCKED

Automatización de la recolección de logs

La mayoría de los proveedores de proxies ofrecen API para obtener estadísticas de uso. Integre estos datos en su sistema SIEM (Gestión de Información y Eventos de Seguridad) o en un almacenamiento centralizado de logs.

Herramientas recomendadas para la recolección y análisis de logs:

  • ELK Stack (Elasticsearch, Logstash, Kibana): Solución gratuita para pequeñas y medianas empresas, permite visualizar el uso de proxies en tiempo real.
  • Splunk: Plataforma comercial con potentes capacidades de correlación de eventos y detección de anomalías.
  • Graylog: Alternativa abierta a Splunk con una interfaz sencilla.
  • Azure Monitor / AWS CloudWatch: Soluciones en la nube para empresas que utilizan las plataformas correspondientes.

Configuración de alertas

Las alertas automáticas ayudan a identificar violaciones de políticas o actividades sospechosas:

  • Volumen de datos inusual: Si un empleado transfirió más de 1 GB a través del proxy en una sesión (puede indicar la descarga de bases de datos).
  • Acceso fuera del horario laboral: Uso de proxies en horas nocturnas o fines de semana sin aprobación previa.
  • Cambio de geolocalización: Un usuario utiliza proxies de 5+ países diferentes en un corto período.
  • Acceso a recursos prohibidos: Intento de conexión a dominios de la lista negra de la empresa.
  • Múltiples intentos fallidos: Más de 10 intentos fallidos de autenticación en una hora (posible compromiso de credenciales).

Consejo: Configure informes automáticos semanales para los jefes de departamento con información sobre el uso de proxies por parte de sus empleados. Esto aumenta la conciencia y la disciplina.

Documentación de la protección de datos personales a través de proxies

Si sus sistemas procesan datos personales a través de proxies (por ejemplo, para verificar usuarios, comprobar transacciones fraudulentas o recopilar análisis), debe documentar las medidas de protección de esos datos.

Evaluación de Impacto en el Procesamiento de Datos (DPIA) para proxies

El GDPR requiere la realización de una evaluación de impacto en la protección de datos (DPIA) para las operaciones de procesamiento que puedan representar un alto riesgo para los derechos y libertades de las personas. El uso de proxies puede estar sujeto a este requisito si:

  • Usted procesa datos personales sensibles (salud, finanzas, biometría)
  • Utiliza proxies en países con un nivel de protección de datos insuficiente (fuera de la UE)
  • Procesa datos a gran escala (más de 10,000 sujetos de datos)

Estructura de DPIA para el uso de proxies:

  1. Descripción del procesamiento: Qué datos se transmiten a través de proxies, para qué fines, qué categorías de sujetos de datos están involucradas.
  2. Necesidad y proporcionalidad: Justificación de por qué el uso de proxies es necesario y no hay alternativas menos riesgosas.
  3. Riesgos para los sujetos de datos: Qué podría salir mal (filtración de datos, acceso no autorizado, pérdida de control sobre los datos).
  4. Medidas de mitigación de riesgos: Cifrado, restricción de acceso, contratos con el proveedor de proxies, auditorías regulares.
  5. Consulta con el DPO: Si tiene un Oficial de Protección de Datos, su opinión debe ser documentada.

Contrato con el proveedor de proxies como procesador de datos

Si el proveedor de proxies tiene la capacidad técnica de acceder a los datos personales que pasan a través de sus servidores, se convierte legalmente en un "procesador de datos" según la terminología del GDPR.

En el contrato con el proveedor deben estar establecidos:

  • Objeto y plazo de procesamiento: Qué datos se procesan, durante cuánto tiempo.
  • Obligaciones del procesador: Garantizar la seguridad, confidencialidad, ayudar en la implementación de los derechos de los sujetos de datos.
  • Subprocesadores: Si el proveedor puede involucrar a terceros, si se requiere su consentimiento.
  • Transferencia transfronteriza: En qué países están ubicados los servidores proxy, qué mecanismos de protección se aplican (Cláusulas Contractuales Estándar, Decisión de Adecuación).
  • Notificación de incidentes: Obligación del proveedor de informar de inmediato sobre cualquier violación de seguridad de datos.
  • Auditoría e inspecciones: Su derecho a verificar el cumplimiento por parte del proveedor de los términos del contrato.

Importante: Muchos proveedores de proxies operan bajo el principio de "no-log" (no almacenan logs de tráfico). Obtenga una confirmación por escrito de esta política e inclúyala en la documentación de cumplimiento.

Cifrado de datos durante la transmisión a través de proxies

Documente qué métodos de cifrado se aplican:

  • Proxies HTTPS: Todo el tráfico entre su sistema y el servidor proxy se cifra mediante TLS 1.2 o superior.
  • SOCKS5 con túnel SSH: Nivel adicional de cifrado para datos especialmente sensibles.
  • Cifrado de extremo a extremo: Los datos se cifran en el lado del remitente y se descifran solo en el lado del destinatario, el proxy solo ve el tráfico cifrado.

En la documentación, indique las versiones de los protocolos y los algoritmos de cifrado (por ejemplo: "TLS 1.3 con AES-256-GCM").

Preparación de la documentación para la auditoría

Cuando llegue el momento de una auditoría externa o interna, deberá proporcionar rápidamente un paquete completo de documentos que confirmen el cumplimiento del uso de proxies. Aquí está lo que debe estar listo de antemano:

Paquete de documentos para la auditoría

  1. Política de uso de servidores proxy (versión actual con firma de la persona aprobadora)
    • Historial de cambios de la política
    • Documentos de familiarización de los empleados (firmados o confirmaciones electrónicas)
  2. Inventario de servidores proxy
    • Lista de todos los proxies utilizados (direcciones IP, ubicaciones geográficas, tipos)
    • Información sobre proveedores (nombres de empresas, datos de contacto, detalles de contratos)
    • Fecha de inicio de uso de cada proxy
  3. Registros de acceso
    • Logs de los últimos 12 meses (o el período requerido por su estándar)
    • Informes sobre anomalías detectadas y medidas tomadas
    • Estadísticas de uso por departamentos
  4. Contratos con proveedores
    • Contrato principal para la provisión de servicios de proxy
    • Data Processing Agreement (DPA) para cumplimiento de GDPR
    • Cláusulas Contractuales Estándar (SCC), si los proxies están ubicados fuera de la UE
    • SLA (Acuerdo de Nivel de Servicio) con garantías de disponibilidad y seguridad
  5. DPIA (Evaluación de Impacto en la Protección de Datos) — si es aplicable
  6. Procedimientos de gestión de acceso
    • Formulario de solicitud de acceso a proxies
    • Ejemplos de solicitudes aprobadas y rechazadas
    • Procedimiento para revocar el acceso al despedir a un empleado
  7. Incidentes y su investigación
    • Registro de incidentes relacionados con proxies (si los hubo)
    • Informes de investigaciones
    • Acciones correctivas
  8. Capacitación y concienciación
    • Materiales de capacitación sobre el uso seguro de proxies
    • Registros de la capacitación realizada por los empleados

Preguntas típicas de los auditores

Prepárese para responder a las siguientes preguntas (con evidencia):

  • "¿Cómo controla que los proxies se utilicen solo para fines permitidos?" — Muestre los logs y el procedimiento de monitoreo.
  • "¿Cómo garantiza que los datos personales no lleguen al proveedor de proxies?" — Muestre el DPA, la política de cifrado, la confirmación de no-logs.
  • "¿Con qué frecuencia revisa la lista de empleados con acceso a proxies?" — Muestre el procedimiento de revisión trimestral.
  • "¿Qué sucederá si el proveedor de proxies deja de operar o se ve comprometido?" — Muestre el plan de continuidad del negocio (BCP) y la lista de proveedores alternativos.
  • "¿Cómo asegura el cumplimiento en la transferencia transfronteriza de datos?" — Muestre el SCC y el análisis de los países donde están ubicados los proxies.

Automatización de la preparación para la auditoría

Cree una "carpeta de auditoría" (física o electrónica) con las versiones actuales de todos los documentos. Asigne a alguien responsable de su actualización (generalmente un oficial de cumplimiento o CISO).

Utilice plataformas GRC (Gobernanza, Riesgo, Cumplimiento) para automatizar:

  • OneTrust: Gestión de políticas, recordatorios automáticos para la revisión de documentos.
  • ServiceNow GRC: Integración con procesos de IT, recolección automática de evidencia de cumplimiento.
  • Vanta / Drata: Automatización del cumplimiento para SOC 2, ISO 27001 con monitoreo continuo.

Plazos de conservación de documentos y logs

Diversos estándares y legislaciones establecen plazos mínimos para la conservación de la documentación y los registros. El incumplimiento de estos plazos puede resultar en multas o en la imposibilidad de demostrar el cumplimiento en caso de una investigación.

Tipo de documento Plazo mínimo de conservación Base legal
Política de uso de proxies De forma permanente (con historial de cambios) ISO 27001, política interna
Registros de acceso a proxies 12 meses (mínimo) GDPR, ISO 27001
Registros de acceso (datos financieros) 7 años PCI DSS, legislación fiscal
Contratos con proveedores Duración + 5 años Legislación civil
DPIA (evaluación de impacto) Mientras el procesamiento sea relevante + 3 años GDPR
Solicitudes de acceso a proxies 3 años Auditoría interna
Informes de incidentes 5 años ISO 27001, política interna
Certificados de capacitación de empleados Período de trabajo + 1 año Legislación laboral

Recomendación: Almacene los logs de acceso a proxies durante al menos 24 meses, incluso si el estándar solo requiere 12. Esto permite realizar análisis retrospectivos y detectar patrones de abuso a largo plazo.

Procedimiento de eliminación segura

Una vez transcurrido el plazo de conservación, los documentos y logs deben ser eliminados de manera segura para minimizar el riesgo de filtración de datos obsoletos:

  • Documentos electrónicos: Utilice métodos de eliminación segura (no solo "Eliminar", sino sobrescribir datos al menos 3 veces).
  • Documentos en papel: Destrucción mediante trituradora con un nivel de confidencialidad P-4 o superior (según DIN 66399).
  • Copias de seguridad: No olvide eliminar datos de todas las copias de seguridad, no solo del almacenamiento principal.
  • Documentación de eliminación: Mantenga un registro de la eliminación de documentos y logs.
```