La demo fue impecable. El CTO de Enterprise Corp asintió 47 veces durante tu presentación. "Les escribo el lunes para avanzar," dijo al despedirse. $100K ARR prácticamente asegurados.
El lunes llegó un email, pero no era el contrato.
Era un Excel con 187 preguntas. Deadline: 14 días.
"Por favor completar antes de que Legal pueda aprobar el vendor."
Ese Excel tiene el poder de matar tu deal. O de cerrarlo definitivamente.
Qué es un Security Questionnaire (y Por Qué Tu Prospect Lo Pide)
Un security questionnaire (cuestionario de seguridad) es un documento estandarizado que empresas enterprise envían a potenciales proveedores SaaS para evaluar su postura de seguridad antes de firmar un contrato. Típicamente incluye entre 50 y 300 preguntas sobre controles de acceso, cifrado de datos, compliance, respuesta a incidentes y certificaciones como SOC 2 o ISO 27001.
¿Por qué lo piden? Tres razones:
1. Risk Management: No quieren ser la próxima empresa en los titulares por un breach de un vendor 2. Compliance: Sus propias auditorías (SOC 2, ISO 27001, GDPR) exigen due diligence de terceros 3. Due Diligence: Procurement y Legal necesitan evidencia documentada antes de aprobar contratos
El dato que nadie te dice: el 73% de los deals enterprise que llegan a la etapa de security review nunca se cierran.
No porque el producto sea malo. Porque el vendor no supo responder el cuestionario.
Los 3 Tipos de Cuestionarios Más Comunes
VSA (Vendor Security Alliance)
- Creado por Airbnb, Atlassian, Uber, Docker, Dropbox
- Versiones: VSA-Full (profundo) y VSA-Core (crítico + privacy)
- Ideal para: Startups vendiendo a empresas tech
- Gratuito y actualizado anualmente
CAIQ (Consensus Assessments Initiative Questionnaire)
- Origen: Cloud Security Alliance (CSA)
- Versión actual: CAIQ v4.0.3 (2025)
- Formato: Preguntas Yes/No con explicaciones
- Ideal para: SaaS/Cloud providers
- Puedes publicar tu CAIQ en el CSA STAR Registry
SIG (Standardized Information Gathering)
- Origen: Shared Assessments
- SIG Lite: 128 preguntas | SIG Core: 627 preguntas | SIG Full: 1,936 preguntas
- Actualización 2025: Mappings a DORA, NIS2, NIST CSF 2.0
- Ideal para: Due diligence formal en finanzas y healthcare
Las 7 Categorías Que Todo Security Questionnaire Pregunta
En mi experiencia trabajando con startups SaaS B2B en procesos de venta enterprise, las categorías de estos cuestionarios son sorprendentemente consistentes:
1. Políticas y Gobernanza de Seguridad (95%+)
Qué buscan: Evidencia de que la seguridad es responsabilidad formal Evidencia: Política documentada, responsable designado, última revisión (<12 meses)
2. Control de Acceso y Autenticación (95%+)
Qué buscan: Cómo previenen accesos no autorizados Evidencia: MFA obligatorio, proceso de offboarding (<24h), IdP (Okta/Azure AD), audit logs
3. Protección de Datos y Cifrado (90%+)
Qué buscan: Protección de datos en tránsito y en reposo Evidencia: AES-256 at rest, TLS 1.2+ in transit, key management policy, diagrama de arquitectura
4. Seguridad de Red e Infraestructura (85%+)
Qué buscan: Segmentación, firewalls, monitoreo Evidencia: Diagrama de infraestructura, firewall rules, cloud security (GuardDuty, CloudTrail)
5. Respuesta a Incidentes (90%+)
Qué buscan: Plan documentado y tiempos de notificación Evidencia: IRP con roles, SLAs de notificación (24-72h), simulacros, historial
6. Gestión de Terceros (80%+)
Qué buscan: Vendors usados y ubicación de datos Evidencia: Lista de subprocesadores, DPAs firmados, ubicación geográfica
7. Pentesting y Vulnerability Management (85%+)
Esta es la categoría donde el 90% de las startups fallan
Pregunta típica:
"How frequently do you conduct penetration tests? Provide the date and executive summary of your most recent test."
Evidencia esperada:
- Reporte ejecutivo de pentest independiente (últimos 12 meses)
- Calendario de vulnerability scans
- Evidencia de remediación de hallazgos críticos
Sin pentest independiente, la respuesta es "Never" o inventar. Ambas matan el deal.
Las 3 Trampas Mortales al Responder
Los mismos tres errores aparecen una y otra vez en estos cuestionarios. Son predecibles, fatales, y completamente evitables.
⚠️ TRAMPA #1: "Decir que Sí a Todo"
El Error:
Ves la pregunta "¿Realizan penetration testing anual?" y marcas "Sí" aunque tu último (y único) "pentest" fue un npm audit hace 8 meses.
Por Qué Lo Haces: La presión del deadline. El miedo a perder el deal. La creencia de que "nadie va a verificar". Un estudio de Shared Assessments encontró que el 67% de los vendors admiten haber "estirado la verdad" en security questionnaires.
Lo Que Pasa Después: Enterprise buyers hacen auditorías post-firma. Algunos piden evidencia ANTES de firmar. Si mientes sobre pentesting y te piden el reporte, tienes dos opciones:
- Admitir la mentira → deal muerto + reputación destruida
- Fabricar un reporte → fraude + consecuencias legales
Caso documentado: Una startup en Series A perdió un cliente de $200K/año Y fue reportada a la comunidad de CISOs de su industria. Esa lista negra informal les costó 3 deals más en 6 meses.
La Salida: Responde honestamente con timeline de solución:
"Actualmente no tenemos pentest anual formalizado. Estamos programando
uno con [firma independiente] para [fecha próxima] y podemos compartir
resultados en [X semanas]. En el interim, realizamos vulnerability scans
mensuales con [herramienta]."
Esta respuesta honesta + plan concreto genera más confianza que un "Sí" que no puedes respaldar.
⚠️ TRAMPA #2: "Sobre-comprometerte"
El Error: El questionnaire pregunta "¿Tienen certificación SOC 2 Type II?" Tu respuesta: "Estamos en proceso de certificación." (Realidad: googleaste "SOC 2" hace 3 días)
Por Qué Lo Haces: Quieres parecer más maduro de lo que eres. Crees que "en proceso" es una respuesta segura porque técnicamente cualquier empresa está "en proceso" de todo.
Lo Que Pasa Después: El cliente pide timeline específico. Fecha de auditoría. Nombre del auditor. Roadmap de controles. No tienes nada de eso.
Peor: Algunos contratos enterprise incluyen cláusulas de penalización si las certificaciones prometidas no se obtienen en el plazo acordado.
La Salida: Sé específico sobre lo que SÍ tienes:
"No tenemos SOC 2 actualmente. Contamos con:
• Pentest independiente reciente (adjunto)
• Políticas de seguridad documentadas
• Encryption at rest y in transit
• MFA obligatorio para todo el equipo
Podemos iniciar proceso de SOC 2 con timeline de 6-9 meses si es
requerimiento contractual para proceder."
Insight clave: Un pentest independiente puede ser aceptado como evidencia intermedia mientras avanzas hacia certificaciones formales. Muchas startups cierran deals de $150K+ sin SOC 2, pero casi ninguna lo logra sin pentest reciente.
⚠️ TRAMPA #3: "No Responder Rápido"
El Error: Recibes el questionnaire de 150 preguntas. Te abruma. Lo dejas "para después". Pasan 5 días. Pasan 10. El deadline se acerca. Respondes apurado en el último día.
Por Qué Lo Haces:
- Paradox of Choice: Muchas preguntas = parálisis
- Avoidance: El problema es incómodo, lo postergas
- Perfectionism: Quieres responder "perfecto" y eso nunca llega
Lo Que Pasa Después: El champion interno que impulsó tu producto pierde impulso político. Otros stakeholders pierden interés. El budget se reasigna. Cuando finalmente envías las respuestas, el deal ya está frío.
Dato de Arphie.ai: Los deals que responden security questionnaires en <7 días tienen 3.2x más probabilidad de cerrarse que los que tardan >14 días.
La Salida: Responde lo que puedas en 48-72 horas. Aunque sea incompleto.
Email modelo:
"Adjunto las respuestas a las primeras 80 preguntas. Las restantes
requieren validación interna y las tendremos para [fecha en 5 días].
¿Alguna pregunta prioritaria que necesiten antes?"
Esto demuestra seriedad, mantiene momentum, y te da tiempo para conseguir lo que te falta (incluyendo programar un pentest express si es necesario).
¿Ya tienes un deadline encima?
Si recibiste un questionnaire y tienes menos de 3 semanas para responder, no tienes tiempo para leer el resto de este artículo.
Agenda 15 minutos conmigo. Te ayudo a identificar:
- Qué preguntas puedes responder HOY con lo que ya tienes
- Qué evidencia crítica te falta (y cuánto tarda conseguirla)
- Si un pentest express de 5-7 días puede salvarte el deal
No hay pitch de venta en esa llamada. Solo diagnóstico rápido.
Si tu deadline es en 4+ semanas, sigue leyendo. Lo que viene te va a servir.
Guía de Supervivencia: Cómo Responder en 2 Semanas
PASO 1: Triaje Inicial (Día 1 - 2 horas)
No intentes responder todas las preguntas linealmente. Clasifícalas primero:
🟢 VERDE - Podemos responder YA (sin evidencia adicional)
- Preguntas básicas sobre el producto
- Información pública de la empresa
- Controles ya implementados y documentados
🟡 AMARILLO - Necesitamos evidencia/documentación
- Políticas que existen pero no están formalizadas
- Controles implementados pero sin screenshots
- Información que requiere consulta con equipo
🔴 ROJO - Gap real o requiere pentest
- Certificaciones que no tenemos (SOC 2, ISO 27001)
- Pentest independiente (si no lo tienes)
- Controles no implementados
⚪ N/A - No aplica a nuestro caso
- Preguntas sobre on-premise si eres 100% cloud
- Preguntas sobre datos médicos si no procesas PHI
- Funcionalidades que tu producto no tiene
Identificar dealbreakers vs nice-to-haves: Algunas preguntas tienen un "(Required)" o "Critical". Esas son tus prioridades absolutas.
PASO 2: Respuestas Honestas con Contexto
Template para gaps honestos:
"Actualmente no tenemos [X], pero contamos con [Y] como control
compensatorio. Estamos implementando [X] en nuestro roadmap [Q/fecha]
basado en la creciente demanda de nuestros clientes enterprise."
Ejemplo real:
Pregunta: ¿Tienen un CISO dedicado?
❌ Mal: "No" ❌ Peor: "Sí" (mentira) ✅ Bien:
"Como startup de 15 empleados, no tenemos un CISO dedicado.
Las responsabilidades de seguridad están asignadas a nuestro CTO
(primario) y VP de Ingeniería (backup). Adicionalmente, trabajamos
con Pentacode como firma externa de pentesting para evaluaciones
independientes trimestrales. Nuestro plan de respuesta a incidentes
designa escalación a expertise externa cuando sea necesario."
Cómo marcar N/A correctamente: No marques N/A sin explicación. Siempre justifica:
"N/A - Nuestra aplicación es 100% cloud-hosted en AWS. No mantenemos
infraestructura on-premise."
PASO 3: Evidencia Que Impresiona
Lo que realmente diferencia una respuesta profesional de una amateur es la evidencia adjunta.
Evidencia Gold Standard:
| Categoría | Evidencia Aceptable | Evidencia Inaceptable |
|---|---|---|
| Pentest | Reporte completo de firma reconocida con metodología, scope, findings, severidades | Screenshot de email diciendo "pentest passed" |
| Vulnerability Scan | Export completo de Nessus/Qualys con fecha, scope, findings | Lista Excel "hecha en casa" |
| Políticas | PDF con versión, owner, fecha de revisión, aprobación | Google Doc sin fechas ni versionamiento |
| Access Control | Screenshots de IdP config, user list export con roles | "We use Okta" sin evidencia |
| Encryption | Config de TLS, certificate details, KMS setup | "We encrypt everything" |
| Logging | Screenshot de log retention settings, sample query | "We have logging enabled" |
Lo mínimo que deberías adjuntar:
- Pentest report ejecutivo (1-2 páginas resumidas del reporte completo)
- Políticas clave (Seguridad de la Información, Respuesta a Incidentes, Data Privacy)
- Diagrama de arquitectura (mostrando encryption, segmentación, etc.)
- Screenshot de MFA habilitado para toda la organización
- Lista de subprocesadores (AWS, Stripe, etc.) con ubicación geográfica de datos
PASO 4: Compensar Gaps con Controles Alternativos
Si no tienes ISO 27001 o SOC 2, no está todo perdido. Muchas startups cierran deals enterprise sin certificaciones formales.
Controles alternativos que auditores aceptan:
| En lugar de... | Puedes demostrar... |
|---|---|
| ISO 27001 Certificate | Políticas documentadas + Pentest independiente + Risk assessment formalizado |
| SOC 2 Type II | Pentest reciente + Vulnerability scan reports + Evidencia de controles (logs, configs) |
| Equipo de Seguridad dedicado | Security owner designado + Partners externos + Responsabilidades documentadas |
| SIEM Enterprise | Cloud-native logging (CloudTrail, etc.) + Alerting configurado + Retention policy |
| WAF Enterprise | Cloud WAF (Cloudflare, AWS WAF) + Evidencia de rules + Pentest confirmando efectividad |
Ejemplo de respuesta con control compensatorio:
Pregunta: ¿Tienen SOC 2?
"No tenemos SOC 2 completado actualmente. Hemos implementado controles
alineados con SOC 2 Trust Services Criteria, específicamente:
• Pentest independiente trimestral (último: [fecha], adjunto)
• MFA obligatorio para todo el equipo
• Encryption at rest (AES-256) y in transit (TLS 1.3)
• Backup diario con retención de 30 días
• Logging centralizado con retención de 12 meses
• DPA firmado con todos los subprocesadores
Estamos apuntando a SOC 2 Type I para Q3 2025. ¿Esta evidencia
es suficiente para proceder, o SOC 2 es un hard requirement?"
Preguntas Que REQUIEREN Pentest Para Responder
Hay preguntas que aparecen en prácticamente todos los questionnaires enterprise y no se pueden responder sin un penetration test independiente:
Las 5 preguntas críticas:
- Frecuencia de Pentesting: "¿Cuándo fue su último pentest por tercero independiente? Provea resumen ejecutivo."
- Sin pentest: respuesta es "Never" o mentir
- Resultados y Remediación: "¿Hubo vulnerabilidades críticas/altas? Describa remediación."
- Necesitas severidades validadas externamente (no solo scans automáticos)
- OWASP Top 10: "¿Cómo testean y protegen contra OWASP Top 10?"
- Decir "usamos best practices" no demuestra que funciona
- API Security: "Describa testing de seguridad en endpoints de API."
- APIs son superficie de ataque #1 en SaaS, requiere testing especializado
- Validación Independiente: "¿Los assessments son por terceros independientes o solo internos?"
- Esta pregunta directamente pide validación externa
Lo Que Cambia Cuando Tienes un Pentest
La diferencia entre responder con evidencia vs. sin evidencia es abismal.
Respuestas SIN Pentest vs CON Pentest
Pregunta: "¿Realizan penetration testing?"
❌ Sin pentest:
"Sí, nuestro equipo interno revisa regularmente la seguridad."
(Traducción para el CISO: "No tenemos idea de nuestras vulnerabilidades reales")
✅ Con pentest:
"Sí. Adjuntamos reporte de pentest independiente realizado el 15 de
noviembre de 2025 por Pentacode. Se identificaron 8 vulnerabilidades
(0 críticas, 2 altas, 4 medias, 2 bajas). Las 2 altas ya fueron
remediadas y re-testeadas. Ver página 4 del executive summary adjunto."
(Traducción: "Transparentes, proactivos, serios sobre seguridad")
Pregunta: "¿Tienen vulnerabilidades conocidas sin parchear?"
❌ Sin pentest:
"No que sepamos."
(Traducción: "No sabemos porque nunca verificamos")
✅ Con pentest:
"Post-pentest tenemos 2 vulnerabilidades de severidad media en
remediación. ETA: 15 días. Ninguna crítica o alta pendiente.
Ver página 12 del reporte adjunto para tracking status."
(Traducción: "Sabemos exactamente dónde estamos parados")
Pregunta: "¿Cómo protegen contra OWASP Top 10?"
❌ Sin pentest:
"Seguimos best practices de desarrollo seguro."
(Traducción: "Generic answer copiado de Google")
✅ Con pentest:
"Implementamos controles preventivos (parameterized queries, CSP headers,
rate limiting, etc.) y validamos su efectividad mediante pentesting
independiente trimestral. Nuestro último pentest (adjunto) específicamente
testeó para OWASP Top 10 2021. Ver sección de metodología, página 6."
(Traducción: "No solo implementamos, validamos que funciona")
La Matemática del Tiempo
Comparativa de opciones:
| Opción | Timeline | Costo Aproximado | Capacidad de Cerrar Deals |
|---|---|---|---|
| Certificación SOC 2 Type II | 6-12 meses | $50,000 - $150,000 | Alta (largo plazo) |
| ISO 27001 | 6-9 meses | $30,000 - $80,000 | Alta (largo plazo) |
| Pentest independiente | 5-7 días | ~$2,000 - $5,000 | Alta (inmediata) |
| Sin evidencia | 0 días | $0 | Muy baja |
El pentest no reemplaza las certificaciones. Pero te permite CERRAR DEALS AHORA mientras avanzas hacia ellas.
El mejor momento para hacer un pentest fue hace 6 meses. El segundo mejor momento es antes de que llegue el questionnaire.
Si vendes a enterprise y aún no has recibido tu primer security questionnaire, es cuestión de tiempo. Y cuando llegue, vas a desear tener un reporte de pentest listo para adjuntar.
Un pentest ahora te da:
- Respuestas con evidencia para el 40% de preguntas típicas
- Tiempo para remediar antes de que alguien pregunte
- Tranquilidad de saber exactamente dónde estás parado
Conocer el servicio de Pentest Pre-Sales →
Checklist de Preparación: Antes de Recibir el Próximo Questionnaire
No esperes a recibir el questionnaire para conseguir evidencia. El deal se pierde cuando el prospect pide el security review y tu respuesta es "dame 2 meses".
Documentos a Tener Listos
- Política de seguridad de la información (con versión, fecha de revisión, owner)
- Reporte de pentest independiente (<12 meses, con executive summary)
- Plan de respuesta a incidentes (con roles, SLAs de notificación, escalación)
- DPA (Data Processing Agreement) template firmado
- Lista de subprocesadores críticos con ubicación geográfica de datos
- Diagrama de arquitectura de seguridad (mostrando encryption, segmentación, IAM)
- Evidencia de MFA habilitado para toda la organización
- Política de gestión de vulnerabilidades (frecuencia de scans, SLAs de remediación)
Controles Mínimos Implementados
- MFA obligatorio para todos los empleados (sin excepciones)
- Encryption at rest (AES-256 mínimo)
- Encryption in transit (TLS 1.2+ para todas las comunicaciones)
- Backups automáticos con retención clara (mínimo 30 días)
- Logging centralizado con retención de al menos 12 meses
- Proceso de offboarding documentado (<24 horas para desactivar acceso)
- Vulnerability scanning mensual (Nessus, Qualys, o similar)
- Pentest independiente al menos una vez al año
Templates de Respuestas Pre-Escritas
Ahorra tiempo teniendo respuestas estándar para preguntas comunes:
Template 1 - Encryption:
"Customer data is encrypted at rest using AES-256 encryption and in
transit using TLS 1.3. Our cloud provider [AWS/Azure/GCP] manages
encryption keys using their KMS service with automatic rotation every
90 days. All API endpoints enforce HTTPS only."
Template 2 - Access Control:
"We implement role-based access control (RBAC) with least privilege
principle. All employees require MFA for access to production systems.
User provisioning/de-provisioning is managed through [Okta/Azure AD]
with automated offboarding within 24 hours of termination."
Template 3 - Incident Response:
"We maintain a documented Incident Response Plan with defined roles,
escalation procedures, and notification timelines. For security incidents
affecting customer data, we commit to notification within 72 hours of
discovery. Contact: security@[company].com"
Template 4 - Subprocessors:
"Primary subprocessors: AWS (US-East-1 region, data hosting), Stripe
(payment processing), SendGrid (email delivery). Complete list with
DPAs available upon request. All subprocessors are SOC 2 Type II certified."
Caso Real: Cómo Una Startup Cerró Deal de $120K Con Questionnaire Perfecto
Caso documentado de startup SaaS B2B
Contexto: Startup SaaS de fintech en Series A, 12 empleados, vendiendo a banco regional.
Desafío: Security questionnaire de 243 preguntas + auditoría on-site programada.
Estado inicial:
- ❌ Sin certificaciones (ni SOC 2, ni ISO 27001)
- ❌ Sin pentest previo
- ❌ Políticas de seguridad no documentadas
- ✅ Controles técnicos implementados pero sin evidencia
Estrategia (timeline de 3 semanas):
Semana 1:
- Pentest express de 5 días de la aplicación web + API
- Documentación urgente de políticas existentes (Seguridad, IRP, Privacy)
- Inventario de controles implementados con screenshots
Semana 2:
- Remediación de 2 vulnerabilidades High encontradas en pentest
- Re-test de confirmación
- Preparación de respuestas con evidencia adjunta
Semana 3:
- Envío de questionnaire completo con:
- Executive summary del pentest (2 páginas)
- 3 políticas documentadas
- 15+ evidencias visuales (screenshots, diagramas)
- Roadmap a SOC 2 en 6 meses
Resultado:
- ✅ Deal cerrado: $120K ARR
- ✅ Auditoría on-site aprobada sin findings críticos
- ✅ Mismo questionnaire reutilizado para 3 prospects más
- ✅ Timeline de venta reducido de 9 meses promedio a 4 meses
Cita del founder:
"El pentest fue la inversión de $3,500 que nos desbloqueó $300K+ en pipeline. Ahora lo hacemos cada trimestre, antes de que nos pregunten."
Conclusión: El Security Questionnaire No es un Obstáculo, es una Oportunidad
Tienes dos opciones:
Opción A: Seguir respondiendo questionnaires con "Sí, lo tenemos" cuando realmente debería decir "No, pero estamos en proceso". Rezar para que nadie pida evidencia. Cruzar los dedos en cada audit. Ver cómo se estancan deals que parecían cerrados.
Opción B: Tener un reporte de pentest independiente que respalde tus respuestas. Adjuntar evidencia real. Responder con confianza. Cerrar deals en lugar de perderlos. Convertir el security review en una ventaja competitiva.
Un pentest de 5-7 días puede ser la diferencia entre cerrar ese deal de $100K o verlo morir en "esperando aprobación de security".
La realidad: No necesitas SOC 2 para empezar a vender enterprise. Necesitas evidencia de que tomas la seguridad en serio.
Tu Próximo Paso
Agenda 15 minutos - Evaluamos tu caso →
Sin compromiso. Sin pitch agresivo. Solo una conversación técnica sobre dónde estás y qué necesitas para cerrar ese deal.
En esa llamada identificamos:
- Qué evidencia tienes vs. qué te falta
- Si un pentest express puede desbloquearte deals actuales
- Timeline realista para tener tu security stack listo
PD: Si ya tienes deadline esta semana, menciónalo al agendar. Hacemos pentests express de 48-72 horas para emergencias reales.
Referencias
- Vendor Security Alliance (VSA)
- Cloud Security Alliance - CAIQ v4
- Shared Assessments SIG
- IBM Cost of Data Breach Report 2024
- OWASP Top 10
- OWASP API Security Top 10
Sobre el Autor
Juan Camilo Palacio Alvarez es el fundador de Pentacode, consultora especializada en pentesting y desarrollo seguro para startups SaaS B2B en LATAM. Ha ayudado a decenas de founders a preparar y responder security questionnaires para cerrar sus primeros deals enterprise.