Dado que el alojamiento desempeña un papel esencial en la seguridad, el rendimiento y la fiabilidad de tu sitio web, elegir un proveedor de alojamiento no es algo que debas dejar al azar

Además, el alojamiento también puede desempeñar un papel importante en el cumplimiento normativo, ayudándote a cumplir con los requisitos y directrices reglamentarios, como el GDPR, la CCPA, la SOC 2, la HIPAA, la PCI-DSS y muchas otras consideraciones específicas del sector.

Como hay tantos aspectos diferentes que intervienen en la evaluación de un proveedor de alojamiento, realizar una auditoría de proveedores de alojamiento más sistematizada puede ayudarte a estar seguro de que estás tomando la decisión correcta para tu organización.

En este artículo, te explicaremos cómo llevar a cabo una auditoría de proveedores de alojamiento para garantizar la seguridad y el cumplimiento, al tiempo que abordaremos otras áreas importantes, como el soporte técnico, el tiempo de actividad y el rendimiento, así como los errores comunes y las señales de alerta a las que hay que prestar atención.

Áreas clave a evaluar en una auditoría de proveedores de alojamiento

Para empezar, veamos a grandes rasgos algunas de las áreas importantes que debes evaluar en una auditoría de proveedores de alojamiento web.

Aunque hay muchas preguntas específicas que debes hacer a un proveedor en una auditoría, por lo general conviene centrarse en las siguientes cinco áreas:

  1. Seguridad. Evalúa la seguridad general de la infraestructura del proveedor de alojamiento, incluyendo certificaciones, encriptación, cortafuegos, protección DDoS, copias de seguridad, etc. También deberás tener en cuenta cómo las funcionalidades de seguridad del proveedor se ajustan a las políticas internas de tu organización.
  2. Cumplimiento normativo. Considera si el proveedor puede ayudarte a cumplir con normativas y frameworks importantes, como el RGPD, SOC 2, HIPAA y cualquier requisito de cumplimiento específico del sector.
  3. Rendimiento y fiabilidad. Investiga la ubicación de los centros de datos, la escalabilidad, las garantías de tiempo de actividad, los acuerdos de nivel de servicio y otros detalles sobre el rendimiento y la fiabilidad del proveedor.
  4. Soporte y transparencia. Ten en cuenta los canales de soporte a tu disposición, el horario de atención, los tiempos de respuesta (tiempos de respuesta medios y tiempos de respuesta mínimos respaldados por un acuerdo de nivel de servicio), la claridad del contrato, etc.
  5. Costes y contratos. No te limites a los precios más altos y ten en cuenta otros detalles, como las tarifas ocultas (tarifas por exceso de uso, add-ons, etc.), la flexibilidad del contrato y las cláusulas de rescisión.

A continuación, explicaremos cómo evaluar estas áreas clave analizando los siguientes aspectos:

  • Seguridad y cumplimiento
  • Acuerdos de nivel de servicio sobre tiempo de actividad, rendimiento y soporte
  • Las políticas de tu propia organización y cómo alinearlas con un proveedor
  • Señales de alerta y posibles dificultades, incluidos los costes ocultos
  • Algunos consejos generales para reunir toda la información necesaria para auditar a los proveedores de alojamiento web.

Para cada sección, también incluiremos una lista de verificación con preguntas esenciales que debes responder para cada proveedor de alojamiento en tu auditoría.

Seguridad y cumplimiento: Qué buscar

La seguridad y el cumplimiento normativo deben ser algunas de las áreas más importantes en una auditoría de proveedores, ya que cualquier problema podría afectar gravemente a tu negocio y a las relaciones con tus clientes.

Al evaluar el nivel de seguridad de un proveedor de alojamiento, busca certificaciones reconocidas por el sector, como SOC 2 e ISO 27001, medidas proactivas como cortafuegos, protección DDoS de nivel empresarial y copias de seguridad automatizadas. Algunos proveedores, como Kinsta, también ofrecen una infraestructura aislada basada en contenedores que mejora la seguridad y el rendimiento.

Puedes utilizar este checklist de seguridad para sitios web para profundizar en las funciones de seguridad esenciales con más detalle.

Explicación de la infraestructura de seguridad de Kinsta
Un ejemplo de la infraestructura basada en contenedores de Kinsta.

También puedes investigar si una empresa ha tenido algún problema de seguridad en el pasado. Si ha habido algún problema de seguridad, debes tener en cuenta cómo ha respondido la empresa y qué políticas ha implementado para evitar problemas similares en el futuro.

Lista de preguntas para la seguridad y el cumplimiento normativo

  • Infraestructura de seguridad. ¿Ofrece el alojamiento una infraestructura de seguridad esencial, como encriptación, cortafuegos, protección DDoS, copias de seguridad, etc.?
  • Certificaciones generales de seguridad. ¿Qué certificaciones de seguridad tiene el proveedor? ¿Cumplen las certificaciones o acreditaciones estándar del sector, como SOC 2 e ISO 27001?
  • Normativa sobre privacidad. ¿Puede el proveedor ayudarte a cumplir la normativa sobre privacidad, como GDPR, CCPA, etc.?
  • Requisitos de cumplimiento específicos del sector. Si tu sector tiene sus propios requisitos especiales, ¿puede el proveedor cumplirlos?
  • Cumplimiento continuo. ¿Qué políticas tiene el proveedor para garantizar el cumplimiento continuo de la normativa?
  • Protecciones de seguridad proactivas. ¿Qué políticas y prácticas tiene el proveedor para hacer frente a los exploits de día cero y otras amenazas futuras?
  • Política de violación de la seguridad. ¿Qué ocurre si se produce un incidente de seguridad? ¿Qué protocolos específicos tiene el proveedor para abordar los problemas y notificarlos a los clientes?

Comprender los acuerdos de nivel de servicio (SLA) y las garantías de rendimiento

La mayoría de los proveedores de alojamiento web de calidad ofrecerán al menos algunas garantías en cuanto a tiempo de actividad, rendimiento y soporte. Sin embargo, puede haber muchas diferencias en cuanto a cuáles son esas garantías y hasta qué punto se cumplen.

A continuación, se indican algunas áreas en las que debes centrarte al auditar las garantías de un proveedor:

  • Acuerdo de nivel de servicio (SLA). Una «garantía» no significa gran cosa si no existen requisitos y recursos específicos que la respalden. En el ámbito del alojamiento, un SLA es un acuerdo entre tú y el proveedor que define las responsabilidades, métricas y soluciones específicas. Si un proveedor no ofrece unos SLA claros y transparentes, puede ser una señal de alarma.
  • Garantías de tiempo de actividad. Buscar el «99,9% de tiempo de actividad» en el texto de marketing no es suficiente cuando se trata de tiempo de actividad. También es importante entender a qué se aplica la garantía de tiempo de actividad, cómo se calcula el «tiempo de actividad», qué soluciones hay si no se cumple la garantía, etc.
  • Rendimiento a escala. Es importante comprender cómo funcionan las afirmaciones de rendimiento de un host a escala, junto con cómo responde el alojamiento a los picos de tráfico. ¿El host ofrece algún tipo de escalado automático, o tu sitio se ralentizará o dejará de responder si hay un gran pico de tráfico?
  • Limitaciones ocultas.Te recomendamos que compruebes si hay alguna limitación importante que no sea evidente a primera vista. Por ejemplo, restricción del rendimiento, tarifas por exceso de uso, tiempo de inactividad inesperado (por ejemplo, si el host no escala), etc.
  • Capacidad de respuesta del soporte. Además de la disponibilidad del soporte 24 horas al día, 7 días a la semana (imprescindible), también debes tener en cuenta cuáles son los tiempos medios de respuesta y si estos están garantizados por un acuerdo de nivel de servicio (SLA). Si hay varios niveles de asistencia, también te interesará saber cómo varían los tiempos de respuesta reales entre unos niveles y otros.

En general, busca proveedores que ofrezcan acuerdos de nivel de servicio transparentes, con garantías claras de tiempo de actividad y respuesta proactiva a las incidencias. Un proveedor de alojamiento sólido también garantizará la monitorización en tiempo real, el escalado automático y una red global para reducir la latencia, características que plataformas como Kinsta priorizan.

Para que te hagas una idea de cómo debe ser un SLA, aquí tienes un ejemplo de las garantías respaldadas por SLA de Kinsta para un tiempo de actividad del 99,9% y del 99,99%, que incluyen soluciones específicas para diversas situaciones.

Captura de pantalla del SLA de tiempo de actividad de Kinsta en abril de 2025
SLA de tiempo de actividad de Kinsta en abril de 2025.

Lista de preguntas para los SLA y las garantías de rendimiento

  • Garantías de tiempo de actividad y rendimiento. ¿Cuáles son las garantías específicas de tiempo de actividad y rendimiento?
  • 99.9% frente a 99,99%. ¿Qué nivel de tiempo de actividad puede garantizar el host? ¿Es sólo el 99,9%, o ofrece también una garantía superior (como el 99,99%)?
  • Picos de tráfico. ¿Cómo gestiona el proveedor los picos de tráfico? ¿Qué garantías de rendimiento existen para los periodos de mucho tráfico?
  • Soluciones. ¿Cuáles son las soluciones si no se cumplen esas garantías? Si se trata de un reembolso, ¿cuál es la política de reembolso y cómo se calcula?
  • Garantías de respuesta de soporte. ¿Cuáles son los tiempos de respuesta de soporte garantizados por el SLA para los distintos niveles de soporte?
  • Claridad contractual. ¿Son claros y específicos los SLA y otras obligaciones contractuales? ¿O incluyen renuncias amplias y lenguaje vago?

Alineación de las capacidades de los proveedores con las políticas de tu organización

Además de verificar que tu proveedor de alojamiento cumple todas las normativas necesarias, también deberás asegurarte de que cualquier proveedor que elijas también se ajusta a las políticas y normas internas de tu organización.

Tu organización puede tener sus propios requisitos, pero aquí tienes algunos aspectos que debes tener en cuenta:

  • Políticas internas de seguridad y TI. Asegúrate de que el proveedor puede cumplir las políticas y normas de tu organización. Por ejemplo, puedes exigir restricciones de acceso basadas en roles, registro de actividades, etc.
  • Requisitos de residencia de los datos. Es posible que necesites que los datos se almacenen en una ubicación física determinada (por ejemplo, dentro de la Unión Europea para simplificar el cumplimiento del RGPD) y/o de una manera determinada. Es importante comprobar si el proveedor puede cumplir estos requisitos. La mayoría de los proveedores de alojamiento de calidad ofrecen múltiples ubicaciones de centros de datos; por ejemplo, Kinsta te permite elegir entre 37 ubicaciones de centros de datos diferentes.
  • Gestión de riesgos de terceros. La mayoría de los proveedores de alojamiento web recurren a determinados proveedores de servicios externos. Es importante que comprendas cómo gestiona el proveedor a sus propios proveedores y si estas relaciones cumplen con los estándares internos de tu organización.

En caso de duda, dirígete al proveedor de alojamiento con tus preguntas para obtener respuestas concretas a políticas organizativas importantes.

Lista de preguntas para la alineación organizativa

  • Documentación de cumplimiento. ¿Puede el servicio de alojamiento proporcionar documentación que demuestre su conformidad con las certificaciones y normativas pertinentes que exige tu organización?
  • Localización de datos. ¿Qué herramientas y opciones ofrece el proveedor de alojamiento para ayudarte a cumplir los requisitos de localización de datos de tu organización?
  • Integraciones de terceros. ¿Con qué servicios de terceros se integra el proveedor de alojamiento? ¿Cómo se gestionan estas relaciones y qué medidas de seguridad existen para las integraciones de terceros?
  • Acceso a la cuenta de alojamiento. ¿De qué herramientas dispones para controlar el acceso a tu cuenta de alojamiento e implementar las restricciones basadas en roles de tu organización?
  • Funcionalidad de registro. ¿Puedes registrar las acciones de los usuarios dentro de tu cuenta de alojamiento? ¿De qué otras herramientas dispones para controlar el acceso a la cuenta de alojamiento de tu organización?

Errores comunes y señales de alarma a tener en cuenta

Aunque nos hemos centrado en analizar las «señales positivas» de los proveedores, también hay algunas «señales negativas» y problemas comunes a los que debes prestar atención al realizar una auditoría de proveedores.

Éstos son algunos de los problemas más comunes a los que deberás prestar atención:

  • Acuerdos de nivel de servicio vagos o débiles. Ya hemos tratado la importancia de contar con acuerdos de nivel de servicio en una sección anterior. Sin embargo, desconfía de los proveedores con acuerdos de nivel de servicio débiles o vagos que no ofrezcan garantías o soluciones significativas.
  • Tarifas punitivas por exceso de uso u otros costes añadidos. Aunque las tarifas por exceso de uso no son un problema en sí mismas, pueden ser problemáticas si están estructuradas de forma excesivamente punitiva para situaciones en las que podría encontrarse tu organización. Más allá de eso, analiza otros costes potenciales, como tarifas adicionales, tarifas de salida y cualquier otra tarifa que puedas tener que pagar.
  • Problemas de escalabilidad. Si un alojamiento no puede escalar los recursos durante los periodos de alto uso, podrías tener problemas de inactividad o ralentización durante los picos de tráfico u otros periodos de uso intensivo de recursos.
  • Falta de transparencia. Un proveedor de calidad debe ser transparente sobre su infraestructura y documentación de seguridad; de lo contrario, es una señal de alarma. Por ejemplo, Kinsta tiene una página dedicada a la transparencia que comparte detalles sobre su cumplimiento, infraestructura, seguridad, etc.
Una captura de pantalla del Centro de Confianza de Kinsta
El Centro de Confianza de Kinsta proporciona transparencia sobre su infraestructura y cumplimiento.

Lista de preguntas para detectar dificultades y señales de alerta

  • Acuerdos de nivel de servicio poco claros. ¿Tiene el SLA garantías de tiempo de actividad vagas y todo tipo de exclusiones de responsabilidad?
  • Costes ocultos punitivos. ¿Cuáles son los costes por exceder los límites, por add-ons y por cancelación? ¿Son justos o excesivamente punitivos?
  • Contratos inflexibles. ¿Tiene el vendedor cláusulas de salida punitivas o tasas de salida que dificulten el abandono?
  • Escalabilidad limitada. ¿Existen limitaciones para escalar los recursos? En caso afirmativo, ¿cómo podrían afectar estas limitaciones a tu organización en los escenarios del mundo real con los que probablemente te encuentres?
  • Falta de transparencia. ¿El proveedor no está dispuesto a compartir detalles específicos sobre su infraestructura o documentación de seguridad?

Comparar proveedores y tomar una decisión

Si estás considerando varios proveedores, tener una forma objetiva de compararlos puede ser útil. Sin embargo, a veces puede resultar complicado, porque los distintos proveedores pueden ser especialmente fuertes o débiles en determinadas áreas.

Aquí tienes algunas sugerencias para acotar el campo y elegir al proveedor adecuado para tu organización…

Crea una plantilla para el cuadro de mando de auditoría

Para comparar objetivamente a los proveedores teniendo en cuenta sus fortalezas y debilidades relativas, puedes crear una plantilla de tarjeta de puntuación de auditoría basada en los criterios más importantes para tu negocio.

Un buen punto de partida es clasificar a los proveedores en función de lo siguiente:

  1. Seguridad
  2. Cumplimiento
  3. Soporte
  4. Rendimiento y escalabilidad
  5. Coste

Si hay áreas adicionales que son esenciales para tu negocio, también puedes incluirlas como otra categoría en tu cuadro de mando de auditoría.

En función de las necesidades específicas de tu organización, puede que también quieras dar más peso a unas áreas que a otras. Por ejemplo, si necesitas absolutamente algún tipo de cumplimiento normativo específico del sector, debes hacer hincapié en ese cumplimiento en tu tarjeta de puntuación de auditoría.

Utiliza periodos de prueba para evaluar el rendimiento en el mundo real

Una vez que hayas reducido la lista a unos pocos candidatos, puedes utilizar periodos de prueba para comprobar el rendimiento y el soporte en el mundo real antes de tomar una decisión definitiva.

Aunque no todos los proveedores ofrecen periodos de prueba gratuitos, la mayoría ofrecen al menos algún tipo de garantía de reembolso. Kinsta ofrece ambas cosas, con un mes de prueba gratuita de los planes Single 35k y WP 2, así como una garantía de devolución del dinero de 30 días que se aplica a todos los planes.

Utiliza estos periodos de prueba para realizar tus propias pruebas de rendimiento y comprobar si el rendimiento del proveedor en el mundo real coincide con sus afirmaciones. También puedes interactuar con el servicio de soporte para hacerte una idea de los tiempos de respuesta y la calidad.

Cómo cumple Kinsta las normas de cumplimiento y seguridad

Kinsta ofrece alojamiento para WordPress y aplicaciones web que cumple las normas esenciales de seguridad y conformidad.

Los planes de Kinsta incluyen funcionalidades de seguridad esenciales como contenedores aislados, encriptación, cortafuegos, protección DDoS, protección contra malware, copias de seguridad automáticas, etc. Kinsta también cumple certificaciones esenciales como ISO 27001 y SOC 2.

Para darte información sobre la seguridad, el cumplimiento y mucho más, Kinsta cuenta con un detallado Centro de Confianza que ofrece información transparente sobre la infraestructura y el cumplimiento de Kinsta. También te beneficiarás de un soporte de un solo nivel con un tiempo medio de respuesta inicial inferior a dos minutos, así como de unos SLA claros y precisos.

Muchas organizaciones han tenido éxito con Kinsta, incluidas aquellas con estrictos requisitos de cumplimiento normativo. Puedes leer estas historias en los numerosos casos de estudio de Kinsta, pero aquí te presentamos algunas experiencias destacadas de nuestros clientes:

Resumen

Realizar una auditoría exhaustiva del proveedor de alojamiento es crucial para garantizar la seguridad, el cumplimiento y el rendimiento.

Al evaluar a los proveedores en función de estos criterios clave, tu organización puede minimizar los riesgos y optimizar tu estrategia de alojamiento. También puedes utilizar esto como framework para realizar revisiones periódicas de tu proveedor de alojamiento a medida que evolucionan las nuevas regulaciones y amenazas.

Si buscas una solución de alojamiento administrado que priorice la seguridad, el cumplimiento y una infraestructura de alto rendimiento, Kinsta es un buen ejemplo de proveedor que cumple estas normas.

Jeremy Holcombe Kinsta

Editor de Contenidos y Marketing en Kinsta, Desarrollador Web de WordPress y Redactor de Contenidos. Aparte de todo lo relacionado con WordPress, me gusta la playa, el golf y el cine. También tengo problemas con la gente alta ;).