Ir al contenido
Gobernanza y Conformidad

¿Qué es la Regla de Salvaguardas de la FTC?

La Regla de Salvaguardas de la FTC es una norma de los Estados Unidos que obliga a las instituciones financieras no bancarias a mantener un programa formal de seguridad de la información para proteger los datos de los clientes. Nació de la ley Gramm-Leach-Bliley y enumera, de forma concreta, lo que ese programa debe incluir: un responsable nombrado, una evaluación de riesgo por escrito, autenticación de múltiples factores, cifrado y un plan de respuesta a incidentes. Se aplica a cualquier empresa que ofrezca productos o servicios financieros a consumidores bajo la jurisdicción de la FTC, esté donde esté.

Zamak TechnologiesActualizado el 11 de julio de 2026

Cómo funciona la Regla de Salvaguardas

La Regla de Salvaguardas no es una sugerencia de buenas prácticas; es una exigencia con elementos obligatorios. La Sección 314.4 define nueve componentes que el programa de seguridad de la información debe contener, y la empresa responde por mantenerlos vivos, no solo por tenerlos en el papel.

1

Nombre a un responsable

El programa necesita un Qualified Individual, una persona formalmente encargada de implementar y supervisar la seguridad de la información. Sin un dueño, el programa no existe de verdad.

2

Evalúe el riesgo por escrito

La empresa documenta dónde están los datos de los clientes y a qué amenazas están expuestos. Es esa evaluación la que justifica cada control adoptado.

3

Implemente los controles exigidos

La norma cita explícitamente la autenticación de múltiples factores, el cifrado de los datos en tránsito y en reposo, el control de acceso y el monitoreo. No son opcionales.

4

Pruebe, capacite y reporte

El programa tiene que probarse (mediante pruebas de intrusión o monitoreo continuo), el equipo tiene que capacitarse, y el responsable reporta al consejo o a la alta dirección al menos una vez al año.

Fuente: Federal Trade Commission, Regla de Salvaguardas (16 CFR Parte 314), bajo la ley Gramm-Leach-Bliley (GLBA).

Cómo saber si la norma se aplica a usted

  • Usted ofrece crédito, préstamo, financiamiento o cuotas propias. 'Institución financiera' aquí es amplio: no es solo un banco, y muchas empresas ni se dan cuenta de que encajan.
  • Usted es concesionaria de autos, inmobiliaria, estudio contable o consultoría fiscal que maneja datos financieros de clientes. Todas ya fueron encuadradas como instituciones financieras no bancarias.
  • Usted guarda dato personal financiero de consumidor: número de documento, cuenta, ingresos, historial de pagos. Es exactamente el dato que la norma existe para proteger.
  • Usted atiende a clientes bajo la jurisdicción de la FTC, incluso desde otro país. La obligación acompaña al servicio financiero prestado al consumidor, no a la dirección de su sede.

Los elementos obligatorios, agrupados

  • Responsabilidad y riesgo Un Qualified Individual nombrado y una evaluación de riesgo escrita y periódica. Es la base que orienta todo lo demás del programa.
  • Controles técnicos Autenticación de múltiples factores, cifrado en tránsito y en reposo, control de acceso y descarte seguro. Los controles que la norma cita por su nombre.
  • Vigilancia continua Monitoreo o pruebas de intrusión para verificar que las defensas funcionan de verdad, y supervisión de los prestadores de servicio que también tocan el dato.
  • Respuesta y preparación Un plan de respuesta a incidentes escrito y capacitación de seguridad para el equipo. Saber qué hacer antes de que el incidente ocurra, no durante.
  • Rendición de cuentas Un informe al consejo o a la alta dirección al menos una vez al año, y la notificación obligatoria al regulador cuando una brecha afecta a 500 personas o más.

Qué está en juego para el negocio

9
elementos obligatorios que el programa de seguridad de la información debe contener (Sección 314.4)
30 días
plazo máximo para notificar al regulador tras descubrir una brecha con 500+ personas, en vigor desde mayo de 2024
$ 4,44 millones
costo promedio global de una brecha de datos, IBM 2025

La Regla de Salvaguardas empezó a tener dientes. Desde el 13 de mayo de 2024, una institución financiera no bancaria debe notificar al regulador dentro de los 30 días de descubrir una brecha que afecte a 500 personas o más, y esa notificación es pública. Antes de eso, un incidente podía tratarse en silencio; ahora el mismo incidente se vuelve un registro visible para clientes, socios y competidores. El programa exigido tiene nueve elementos obligatorios, y la fiscalización ya aplicó sanciones a empresas que los ignoraron. Súmese el costo de fondo: una brecha de datos todavía cuesta, en promedio, $ 4,44 millones en el mundo (IBM, 2025), y el sector financiero está entre los más caros de todos. Para muchas empresas que ni se veían como 'institución financiera', la sorpresa es doble: descubrir que están en el alcance y descubrir que el plazo para adecuarse ya pasó.

Cómo se adecua una empresa en la práctica

Adecuarse a la Regla de Salvaguardas es montar un programa vivo, no llenar un formulario. El camino es directo cuando se sigue el orden correcto:

  1. Confirme si está en el alcanceAntes que nada, verifique si su actividad se encuadra como institución financiera bajo la FTC. Muchas empresas están en el alcance sin saberlo, y ese es el descubrimiento que más atrasa la adecuación.
  2. Nombre al responsable y mapee el datoDefina al Qualified Individual y haga el inventario de dónde vive el dato del cliente. Sin dueño y sin mapa, los controles quedan sueltos.
  3. Encienda los controles que la norma citaLa autenticación de múltiples factores, el cifrado y el control de acceso son exigencias nombradas. Empezar por ellas resuelve buena parte del programa y reduce el riesgo real.
  4. Escriba el plan de respuestaUn incidente con 500 personas dispara un plazo de 30 días. Tener el plan listo, con papeles definidos, es lo que permite cumplir el plazo sin caos.
  5. Documente y reporte cada añoLa evidencia de que el programa funciona tiene que existir, y el responsable reporta al consejo anualmente. Es lo que convierte 'tenemos seguridad' en algo comprobable.

En la práctica

Si su empresa sufriera hoy un incidente con datos de clientes, ¿sabría decir, en 30 días, exactamente quién fue afectado y qué informar al regulador? Cuando la respuesta es 'no estamos seguros', el problema no es solo el incidente, es el reloj corriendo sin un plan.

Cómo Zamak apoya la adecuación a la Regla de Salvaguardas

Zamak Technologies apoya la adecuación a la Regla de Salvaguardas al lado de su equipo: ayuda a confirmar el alcance, organiza la evaluación de riesgo, enciende los controles que la norma exige y mantiene la evidencia lista para el informe anual, usando una plataforma de conformidad como uno de los mapas de ruta. La gobernanza documenta y comprueba la conformidad; camina junto con las defensas técnicas, como la autenticación fuerte y el cifrado, que son la capa que efectivamente protege el dato. Un buen punto de partida es el autodiagnóstico de conformidad, dentro de la Gobernanza y Conformidad del Método Zamak.

Preguntas frecuentes sobre la Regla de Salvaguardas de la FTC

Mi empresa no es un banco. ¿La Regla de Salvaguardas se aplica a mí?
Probablemente puede aplicarse. La norma rige para instituciones financieras no bancarias, y esa definición es amplia: concesionarias, inmobiliarias, estudios contables, financieras y muchas otras ya fueron encuadradas. Si maneja datos financieros de consumidores, vale confirmar el alcance.
¿Qué es el Qualified Individual?
Es la persona formalmente nombrada para implementar y supervisar el programa de seguridad de la información de la empresa. No tiene que ser un empleado sénior ni interno, pero tiene que existir, tener responsabilidad clara y reportar a la dirección.
¿Qué cambió en mayo de 2024?
Entró en vigor la exigencia de notificar al regulador dentro de los 30 días de descubrir una brecha que afecte a 500 personas o más. Eso hizo público un tipo de incidente que antes podía tratarse internamente, y elevó el costo de no estar preparado.
¿La Regla de Salvaguardas exige MFA y cifrado?
Sí. La norma cita explícitamente la autenticación de múltiples factores y el cifrado de los datos de los clientes, en tránsito y en reposo, como controles obligatorios, salvo una justificación formal de un control equivalente aprobada por el responsable.
¿Cuál es la relación de la Regla de Salvaguardas con la GLBA?
La GLBA, la ley Gramm-Leach-Bliley, es la ley que creó la obligación de proteger los datos financieros de los consumidores. La Regla de Salvaguardas es el reglamento de la FTC que detalla, en la práctica, lo que el programa de seguridad debe contener para cumplir la ley.
¿Una empresa pequeña tiene que cumplir todo?
El alcance de algunos requisitos varía según el tamaño y la cantidad de datos, pero la obligación de tener un programa existe. Para la mayoría de las empresas pequeñas, tiene sentido conducir la adecuación como servicio, sin montar una estructura de conformidad propia.