1. Contratos de Encargo de Tratamiento actualizados

2. Todos los proveedores externos que gestionan datos financieros disponen de un contrato RGPD firmado y actualizado (última revisión < 12 meses).
3. Cada contrato incluye cláusulas de confidencialidad, notificación de brechas y eliminación segura de datos.
4. Se revisa el contrato inmediatamente ante cualquier cambio de servicio o proveedor.

5. Inventario y registro de tratamientos financieros

6. Existe un registro de actividades que documenta todos los tratamientos financieros (nóminas, tesorería, pagos, balances).
7. El registro cumple con el Art. 30 del RGPD y se actualiza al menos una vez al año.
8. Cada tratamiento identifica responsable, finalidad, categoría de datos y nivel de riesgo.

9. Certificaciones y auditorías de los proveedores

10. Todos los proveedores cuentan con al menos una certificación vigente (ISO 27001, ENS Alto, SOC 2 Type II).
11. Se archivan los certificados y los informes de auditoría correspondientes.
12. Se revisan los resultados y se registran acciones correctivas si existen desviaciones.

13. Política de conservación y borrado de datos

14. Se define el tiempo máximo de conservación de datos financieros según finalidad y contrato.
15. Se utilizan métodos de eliminación certificados (DoD 5220.22-M o NIST 800-88).
16. El proveedor entrega un certificado de eliminación al finalizar cada contrato.

17. Auditorías externas RGPD y ENS

18. La organización realiza al menos una auditoría externa anual de cumplimiento RGPD y ENS.
19. Los informes incluyen evidencia documental, plan de acción y seguimiento de mejoras.
20. Los hallazgos críticos se comunican a la dirección o comité de cumplimiento.

21. Cifrado de datos en tránsito y en reposo

22. Todos los entornos financieros utilizan cifrado TLS 1.3 (tránsito) y AES-256 (reposo).
23. Las copias de seguridad y los entornos cloud están igualmente protegidos.
24. Se prueban los protocolos de cifrado trimestralmente.

25. Autenticación multifactor (MFA)

26. Todos los accesos internos y externos a plataformas financieras requieren MFA.
27. Los tokens, claves o apps de autenticación se renuevan periódicamente.
28. El acceso remoto a proveedores o partners también exige MFA activa.

29. Gestión de accesos y trazabilidad (logs)

30. Existe un registro automático de accesos y modificaciones de datos.
31. Los usuarios inactivos son eliminados en < 24 h tras la desvinculación.
32. Se revisan los logs mensualmente y se conservan durante al menos 12 meses.

33. Plan de continuidad y recuperación (BCP/DRP)

34. Existe un plan documentado para restaurar la operativa ante incidentes graves.
35. El plan se prueba como mínimo una vez al año.
36. Se garantiza la recuperación total de datos en menos de 24 horas.

37. Detección y notificación de incidentes

38. El proveedor utiliza herramientas SIEM o SOC para monitorizar amenazas.
39. El protocolo de notificación de brechas garantiza comunicación en < 72 horas.
40. Cada incidente se documenta y se analiza para implementar mejoras preventivas.

41. Formación y concienciación del personal

42. El 100 % del personal con acceso a datos financieros recibe formación anual en RGPD y ciberseguridad.
43. Se registran las asistencias y evaluaciones de aprendizaje.
44. Se actualizan los contenidos tras cada cambio regulatorio o incidente relevante.

45. Supervisión directiva y mejora continua

46. El comité financiero revisa trimestralmente indicadores de seguridad (SLA, cumplimiento, brechas).
47. Los resultados se presentan en informes ejecutivos con medidas correctivas.
48. Se evalúa la evolución del nivel de madurez de seguridad cada semestre.