# SOC 2 y el RGPD: qué preguntar a un proveedor de proxies residenciales


Las preguntas que merece la pena plantear a un proveedor de proxies residenciales parten de un tema concreto: cómo se obtiene la red. Las certificaciones indican que un proveedor gestiona bien sus controles, y son importantes, pero lo más útil que hay que comprender es cómo se han incorporado las direcciones IP, ya que esa es la base sobre la que se sustenta todo lo demás. Se trata de preguntas legítimas que se pueden plantear a cualquier socio de datos web, incluido Massive. Esta guía le ofrece dichas preguntas en el orden en que debe plantearlas, cómo reconocer una respuesta sólida y, cuando resulte útil, cómo las responde Massive, para que pueda distinguir un proxy residencial que cumpla genuinamente con el RGPD de uno que se limite a utilizar la terminología. Una red de confianza responderá a cada una de ellas con detalles concretos.

Si es usted quien elige un proveedor de datos web, o quien debe explicar esa elección a un equipo de seguridad, este documento está dirigido a usted. Se parte de la base de que conoce los motivos por los que su organización recopila datos web públicos y se centra en los procedimientos de diligencia debida que garantizan que dicha recopilación sea sólida y fácil de defender.

## Puntos clave

- **La procedencia es la primera cuestión, no la última.** Las certificaciones confirman que un proveedor aplica sus controles; la respuesta sobre la procedencia le indica cómo se han incorporado las direcciones IP. Pregunte cómo acceden los dispositivos a la red antes de fijarse en cualquier certificado.
- **SOC 2 tiene un alcance y un tipo, y ambos son importantes.** Un informe SOC 2 de Tipo II evalúa los controles a lo largo de un periodo de tiempo; uno de Tipo I es una instantánea de un solo día. Pregunte de cuál se trata, durante qué periodo y qué criterios de los cinco de los Servicios de Confianza abarca.
- **El cumplimiento del RGPD implica una base legal y un acuerdo de tratamiento de datos (DPA) que pueda firmar.** En el caso de una red de proxy, lo fundamental es que la participación de los dispositivos cumpla con el estándar de consentimiento y que pueda obtener un acuerdo de tratamiento de datos con una lista nominal de subencargados del tratamiento.
- **El registro de auditoría es la prueba de transparencia.** Un proveedor capaz de rastrear una solicitud hasta su origen consentidor puede demostrar su trabajo. Se trata de la misma [cadena de custodia](https://www.joinmassive.com/blog/rendering-web-through-consent) que una red de suscripción voluntaria está diseñada para proporcionar.
- **Un socio sólido acoge con agrado estas preguntas.** Una buena diligencia debida es colaborativa, no conflictiva. El objetivo es confirmar una base sólida, y una red construida sobre ella responderá con claridad.

## Por qué el origen de los dispositivos merece una respuesta real

Un proveedor de proxies residenciales ocupa un lugar significativo en su infraestructura: su tráfico sale a través de dispositivos que el proveedor suministra, por lo que la forma en que esos dispositivos se incorporaron a la red forma parte de sus propios cimientos. Esto hace que conocer el origen de los dispositivos sea algo justo y útil, no una mera formalidad.

No todas las redes residenciales se basan en el consentimiento, y precisamente por eso la cuestión del origen merece una respuesta concreta, en lugar de un simple adjetivo. La buena noticia es que una red basada en el consentimiento facilita las cosas: puede especificar el mecanismo a través del cual sus direcciones IP dieron su consentimiento, indicar las certificaciones que cubren cada parte de la cadena y describir el registro de auditoría que vincula una solicitud con un dispositivo que ha dado su consentimiento. Plantear las preguntas que figuran a continuación es, sencillamente, la forma de confirmar que esa base existe, y es el tipo de diligencia que un socio sólido espera y valora.

## Las preguntas que debe plantear, por orden

Aborde estos cuatro grupos de forma secuencial. El grupo del origen se sitúa en primer lugar a propósito, ya que constituye la base sobre la que se asienta el resto.

### Grupo 1: Obtención de datos y consentimiento

Este es el grupo más importante y por el que merece la pena comenzar.

- **¿Cómo acceden las direcciones IP a su red?** Se requiere un mecanismo específico, un SDK publicado y que los usuarios den su consentimiento a cambio de un beneficio.
- **¿Qué recibió el propietario del dispositivo a cambio, y se le informó de lo que estaba aceptando?** El consentimiento válido según el [artículo 4, apartado 11, del RGPD](https://gdpr-info.eu/art-4-gdpr/) debe ser libre, específico, informado e inequívoco. Un intercambio de valor real es lo que lo hace genuino.
- **¿Puede un usuario retirar su consentimiento y qué ocurre cuando lo hace?** El artículo 7, apartado 3, del RGPD establece que la retirada del consentimiento debe ser tan sencilla como su concesión. Una respuesta clara refleja un modelo sólido.
- **¿Puede rastrear una solicitud específica hasta el dispositivo de origen que dio su consentimiento?** Esta es la cuestión relativa al registro de auditoría, y un «sí» acompañado de una explicación es la señal más sólida que un proveedor puede ofrecer.

### Grupo 2: Certificaciones y lo que abarcan

Ahora, las certificaciones, con el alcance que les da sentido.

- **¿Cuenta con la certificación SOC 2? ¿Es de tipo I o de tipo II?** El tipo II comprueba si los controles han funcionado de manera eficaz durante un periodo de tiempo, según los [Criterios de Servicios de Confianza de la AICPA](https://www.aicpa-cima.com/resources/download/2017-trust-services-criteria-with-revised-points-of-focus-2022) (seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad). Solicite el informe bajo un acuerdo de confidencialidad (NDA) y compruebe el periodo y los criterios incluidos en el alcance.
- **¿Dispone de una certificación que cubra el propio proceso de inscripción de la aplicación?** [AppEsteem](https://customer.appesteem.com/Home/AppCertReqs) certifica las aplicaciones según los requisitos de consentimiento informado independiente, divulgación de componentes incluidos y desinstalación completa. En el caso de una red basada en un SDK, esto constituye una prueba directa del momento en que se otorga el consentimiento.
- **¿Cuenta con la certificación ISO/IEC 27001?** Su control A.5.19 sobre las relaciones con los proveedores es relevante, y la certificación indica la existencia de un programa de seguridad gestionado.

### Grupo 3: Tratamiento de datos y aspectos legales

La documentación que facilita la adopción de la relación.

- **¿Firmará un acuerdo de tratamiento de datos y cuál es su base jurídica con arreglo al artículo 6 del RGPD?** Usted desea un acuerdo de tratamiento de datos (DPA), y el proveedor debe poder indicar su base jurídica para la contratación.
- **¿Quiénes son sus subencargados del tratamiento y cómo se nos notificarán los cambios?** El artículo 28 del RGPD regula las garantías de los encargados del tratamiento y la divulgación de los subencargados. Una lista con nombres concretos es la respuesta adecuada.
- **¿Cuál es su compromiso en materia de conservación de datos y notificación de violaciones de seguridad?** Es importante que se definan los plazos de conservación y un calendario de notificación que le permita planificar sus acciones.

### Grupo 4: Operativo y de asistencia

Las cuestiones que preocuparán al equipo de seguridad tras la firma.

- **¿Cuál es su proceso de respuesta ante incidentes y cómo podemos ponernos en contacto con una persona durante uno de ellos?** Para un comprador empresarial, un canal de asistencia directa es preferible a una cola de tickets.
- **¿Cómo mantienen su red en buen estado y la supervisan?** Un proveedor que mantiene activamente su infraestructura está velando por los cimientos de los que usted depende.

## Cómo es una respuesta sólida: cómo responde Massive a cada una

El objetivo de las preguntas es obtener detalles concretos. Para que quede más claro, a continuación le mostramos cómo las responde una red sólida, utilizando la nuestra como ejemplo práctico. Considérelo como el modelo de una buena respuesta, no como un guion que deba seguir al pie de la letra.

| Lo que ha preguntado | Una respuesta sólida y específica | Cómo responde Massive |
|----------------|---------------------------|---------------------|
| ¿Cómo se inscriben los usuarios? | Menciona un SDK divulgado y un intercambio de valor real | Todos los usuarios se inscribieron a través del SDK de Massive, donde los usuarios intercambiaron ancho de banda inactivo por una ventaja premium en la aplicación |
| ¿Se puede rastrear una solicitud hasta su origen consentidor? | Sí, describe el registro de auditoría | Registro de auditoría completo desde el origen hasta la solicitud |
| ¿SOC 2? | Tipo II, indica el periodo y los criterios, se comparte bajo acuerdo de confidencialidad (NDA) | Auditado según SOC 2 Tipo I (Seguridad), diciembre de 2025; informe bajo acuerdo de confidencialidad (NDA) a través del Centro de Confianza |
| ¿Retirada del consentimiento? | Un proceso concreto, tan sencillo como la aceptación | Participación revocable, conforme al art. 7, apartado 3, del RGPD |
| ¿Subencargados del tratamiento y acuerdo de tratamiento de datos (DPA)? | Lista con nombres, DPA listo para firmar | Conforme al RGPD, DPA disponible |
| ¿Certificación de inscripción? | AppEsteem o equivalente | Certificado por AppEsteem; muestras de pantallas de consentimiento disponibles bajo acuerdo de confidencialidad (NDA) |
| ¿Cobertura y presencia? | Dispositivos reales, zonas geográficas especificadas | Dispositivos reales de consumidores en más de 195 países |

La clave a tener en cuenta es la especificidad: un proveedor bien fundamentado responde con mecanismos y documentos. Eso es precisamente lo que agiliza la diligencia debida, ya que las respuestas están preparadas.

## Un cuestionario para proveedores que puede reutilizar

Incorpore estas diez preguntas directamente en su próxima evaluación de un socio de datos web. Son preguntas legítimas que se pueden plantear a cualquiera, incluidos nosotros:

1. Describa exactamente cómo una dirección IP pasa a formar parte de su red.
2. ¿Qué recibe el propietario de un dispositivo por participar y cómo se le informa de dicha participación?
3. ¿Cómo puede un usuario darse de baja y cuál es el efecto de dicha baja?
4. ¿Puede rastrear una solicitud saliente específica hasta un dispositivo de origen que haya dado su consentimiento? Describa el registro de auditoría.
5. Facilite su informe SOC 2. Indique el tipo, el periodo de referencia y los criterios incluidos en el alcance.
6. ¿Qué certificación ampara el consentimiento y la información facilitada en el momento de la inscripción de la aplicación?
7. Indique su base jurídica conforme al RGPD para la obtención de datos y confirme que firmará un acuerdo de tratamiento de datos (DPA).
8. Enumere sus subencargados del tratamiento y su proceso de notificación de cambios.
9. Indique sus plazos de conservación de datos y el plazo de notificación de violaciones de seguridad.
10. Describa su proceso de respuesta ante incidentes y el canal de asistencia disponible durante un incidente.

Un socio que responda a las diez preguntas con detalles concretos es aquel al que puede recurrir con confianza. El pilar que define qué hace que una [red de proxies residenciales ética](https://www.joinmassive.com/blog/ethically-sourced-web-access-network) se haya obtenido de forma ética le proporciona el marco en el que se basa cada pregunta.

## Preguntas frecuentes

### ¿Cumple un proxy residencial con el RGPD simplemente porque así lo afirme el proveedor?

Esta afirmación es fácil de confirmar, y ese es precisamente el motivo por el que se plantea la pregunta. El cumplimiento del RGPD por parte de una red de proxies implica una base jurídica conforme al artículo 6, el consentimiento para la participación de los dispositivos que cumpla con la norma del artículo 4, apartado 11, un acuerdo de tratamiento de datos firmable y la divulgación de los subencargados del tratamiento. Un proveedor que pueda presentar un acuerdo de tratamiento de datos (DPA) y especificar su base jurídica cumple con la normativa de forma verificable, y un proveedor fiable tendrá esos documentos preparados.

### ¿Cuál es la diferencia entre SOC 2 Tipo I y Tipo II para un proveedor de servicios de proxy?

El Tipo I describe los controles de un proveedor en un momento concreto; el Tipo II comprueba si dichos controles han funcionado de manera eficaz durante un periodo de tiempo, normalmente de 3 a 12 meses. El Tipo II es el informe que tiene mayor peso en una revisión, ya que refleja un funcionamiento sostenido. Pregunte qué tipo es, cuál es el período de referencia y cuáles de los cinco criterios de servicios de confianza están incluidos en el alcance.

### ¿Qué certificaciones debe tener un proveedor de proxies residenciales que cumpla con la normativa?

Busque la certificación SOC 2 Tipo II para los controles operativos, una postura conforme al RGPD con un acuerdo de tratamiento de datos (DPA) firmable que garantice la base legal y el consentimiento, y una certificación que cubra el proceso de inscripción de la aplicación, como AppEsteem, para el momento del consentimiento. La norma ISO/IEC 27001 constituye una sólida señal adicional. El conjunto es importante porque cada uno de estos elementos abarca un eslabón diferente: el registro, la base legal y las operaciones. En conjunto, describen una red bien fundamentada.

### ¿Cómo le ayuda a usted, como comprador, el registro de auditoría?

Le proporciona una transparencia demostrable. Un proveedor capaz de rastrear una solicitud hasta el dispositivo de origen que dio su consentimiento puede demostrar, en lugar de limitarse a afirmar, que su fuente de suministro dio su consentimiento. Esa es la prueba práctica que respalda una afirmación sobre el origen de los datos, y es el tipo de respuesta que facilita una revisión de seguridad. Cuando un proveedor puede guiarle a través de esa cadena, usted puede adoptar la red con confianza.

## Conclusión

Una buena revisión de un proveedor de proxies consiste, en realidad, en confirmar una base sólida, y comienza con una pregunta: ¿cómo dieron su consentimiento sus direcciones IP? Las certificaciones, los acuerdos de protección de datos (DPA) y los cuestionarios existen para respaldar la respuesta con pruebas, y una red de buena reputación tiene esas pruebas a su disposición. Pregunte por el mecanismo, las certificaciones específicas y el registro de auditoría, y preste atención a los detalles concretos.

Los proveedores en los que merece la pena confiar acogerán con agrado estas preguntas, ya que una red basada en una adhesión voluntaria transparente, con una auditoría SOC 2 Tipo I, cumplimiento del RGPD, certificación AppEsteem y un registro de auditoría completo desde el origen hasta la solicitud, está diseñada para responderlas. Para conocer el mecanismo que subyace a ese modelo, lea [cómo funciona realmente una red de proxy con consentimiento expreso](https://www.joinmassive.com/blog/rendering-web-through-consent), y podrá ver cómo una red documenta su postura de cumplimiento en [Massive](https://joinmassive.com).
