10 Preguntas de Seguridad para Proveedores EdTech

Administrador escolar revisando documentación de seguridad de un proveedor EdTech — Las escuelas ahora son legalmente responsables de verificar las prácticas de seguridad de sus proveedores EdTech

En diciembre de 2024, PowerSchool sufrió una brecha de datos masiva que expuso la información personal de aproximadamente 62,4 millones de estudiantes y 9,5 millones de educadores en Norteamérica (BleepingComputer, 2025). La brecha ocurrió debido a una sola credencial de empleado comprometida y la falta de autenticación multifactor en un portal de soporte crítico (TechTarget, 2025). Los reguladores de privacidad han enfatizado desde entonces que las escuelas son responsables de verificar las prácticas de seguridad de sus proveedores.

Esto cambia todo sobre cómo las escuelas deben evaluar a los proveedores EdTech. Ya sea que esté considerando un laboratorio de ciencias virtual, un sistema de gestión de aprendizaje o cualquier software que maneje datos de estudiantes, necesita hacer preguntas más difíciles. Aquí hay diez preguntas que toda escuela debe hacer antes de firmar un contrato.

1. ¿Dónde se almacenan nuestros datos?

No se trata solo de conocer el país. Necesita detalles específicos:

¿Qué proveedor de nube? (¿AWS, Google Cloud, Azure o autoalojado?)
¿Qué región? (Las escuelas de la UE pueden requerir servidores basados en la UE para el RGPD)
¿Se transfieren datos internacionalmente alguna vez?
¿Se almacenan las copias de seguridad en una ubicación diferente?

Un proveedor que no puede responder estas preguntas con precisión probablemente no ha pensado cuidadosamente sobre su arquitectura de datos. La Oficina del Comisionado de Información del Reino Unido requiere específicamente que las organizaciones sepan dónde se procesan los datos personales (ICO, 2024).

2. ¿Tienen certificación SOC 2 o ISO 27001?

SOC 2 (System and Organization Controls) es una auditoría de seguridad realizada por contadores independientes que demuestra que los controles de seguridad de un proveedor realmente funcionan, no solo que existen en papel (AICPA, 2024). Hay dos tipos:

Tipo I: Confirma que los controles existen en un momento dado
Tipo II: Confirma que los controles funcionaron consistentemente durante 6-12 meses (más riguroso)

ISO 27001 es un equivalente internacional reconocido en más de 160 países (ISO, 2022). Si un proveedor no tiene ninguno, pregunte qué validación de terceros tiene. "Nos tomamos la seguridad en serio" no es una certificación.

3. ¿Quién tiene acceso a los datos de estudiantes?

La brecha de PowerSchool ocurrió a través de un portal de soporte al cliente que carecía de controles de acceso adecuados. Pregunte a los proveedores:

¿Cuántos empleados pueden acceder a los datos de estudiantes?
¿Se registra el acceso y es auditable?
¿El personal de soporte necesita su permiso antes de acceder a sus datos?
¿Los contratistas y terceros están incluidos en los controles de acceso?

El principio de mínimo privilegio, un requisito central en marcos como el NIST Cybersecurity Framework (NIST, 2024), significa que los empleados solo deben acceder a los datos mínimos necesarios para su trabajo. Si "todos en soporte" pueden ver registros de estudiantes, es una señal de alerta.

4. ¿Utilizan autenticación multifactor?

La brecha de PowerSchool podría haberse prevenido con MFA. Según Microsoft, MFA bloquea el 99,9% de los ataques automatizados (Microsoft, 2019). Pregunte específicamente:

¿Es obligatorio el MFA para todas las cuentas de empleados?
¿Es obligatorio el MFA para portales administrativos?
¿Está disponible el MFA para cuentas de administradores escolares?
¿Qué métodos de MFA se admiten? (Basado en aplicación es más fuerte que SMS)

Si un proveedor no aplica MFA internamente, no está siguiendo prácticas básicas de higiene de seguridad en 2026.

5. ¿Qué servicios de terceros tocan nuestros datos?

Muchas plataformas EdTech utilizan servicios externos para análisis, seguimiento de errores, funciones de IA o alojamiento. Cada uno es un punto potencial de fuga. Bajo el RGPD, los proveedores deben divulgar todos los subprocesadores que manejan datos personales (EDPB, 2024). Solicite una lista completa y qué datos recibe cada uno.

Tenga cuidado con:

Plataformas de análisis (Google Analytics, Mixpanel) que pueden rastrear el comportamiento de los estudiantes
Servicios de IA que procesan trabajos de estudiantes para calificación o retroalimentación
Herramientas de soporte al cliente que pueden almacenar registros de conversaciones
Seguimiento de errores que podría capturar datos sensibles en informes de fallos

Un proveedor con "sin análisis de terceros en aplicaciones orientadas a estudiantes" está haciendo un compromiso significativo.

6. ¿Cuál es su política de datos de IA?

Con EdTech impulsado por IA cada vez más común, entender cómo los proveedores manejan la IA y los datos de estudiantes es crucial. La investigación del Future of Privacy Forum sobre gobernanza de IA proporciona marcos útiles para evaluar estas políticas (FPF, 2024). Pregunte sobre:

¿Utilizan datos de estudiantes para entrenar modelos de IA? Si es así, ¿es opt-in u opt-out?
¿Pueden las escuelas elegir si participan?
¿El procesamiento de IA se realiza en su infraestructura o se envía a terceros?
¿Qué sucede con el trabajo de los estudiantes después de procesarlo?

La clave es la transparencia. Un proveedor debe explicar claramente su enfoque y dar a las escuelas un control significativo sobre cómo se utilizan los datos de estudiantes para propósitos de IA.

7. ¿Cuál es su política de retención de datos?

Los datos que no existen no pueden ser robados. El principio de minimización de datos del RGPD requiere que las organizaciones conserven datos personales solo el tiempo necesario (ICO, 2024). Pregunte:

¿Cuánto tiempo se conservan los datos de estudiantes después de que abandonan la plataforma?
¿Pueden las escuelas solicitar la eliminación anticipada?
¿Qué sucede con los datos si cancelamos nuestra suscripción?
¿Se eliminan también las copias de seguridad o persisten?

Un proveedor que mantiene datos de estudiantes indefinidamente "por si acaso" es un riesgo.

8. ¿Qué sucede si hay una brecha?

Todo proveedor debe tener un plan de respuesta a incidentes. El RGPD requiere notificación dentro de 72 horas (ICO, 2024). Pregunte:

¿Con qué rapidez nos notificarán de una brecha?
¿Qué información incluirá la notificación?
¿Tienen seguro de ciberseguridad?
¿Proporcionarán monitoreo de crédito para estudiantes afectados?

PowerSchool tardó semanas en revelar completamente el alcance de su brecha, y algunas escuelas informaron que se enteraron por medios de comunicación en lugar de notificaciones oficiales. Los compromisos contractuales claros sobre los plazos de notificación son importantes.

9. ¿Podemos obtener un Acuerdo de Procesamiento de Datos?

Un Acuerdo de Procesamiento de Datos (DPA) es un contrato legal requerido bajo el Artículo 28 del RGPD que define cómo un proveedor maneja sus datos (GDPR.eu, 2024). Debe especificar:

Qué datos se recopilan y por qué
Cómo se protegen los datos
Listas de subprocesadores
Procedimientos de notificación de brechas
Eliminación de datos al terminar

Si un proveedor no puede proporcionar un DPA, probablemente no está listo para trabajar con escuelas que toman el cumplimiento en serio.

10. ¿Cómo protegen los datos de nuestra escuela?

Entender cómo se protegen sus datos de otras escuelas en la misma plataforma es importante. El NIST Cybersecurity Framework recomienda enfoques de defensa en profundidad. Pregunte sobre:

Cifrado: ¿Los datos de su escuela están cifrados con claves específicas para su organización?
Controles de acceso: ¿Qué impide que usuarios de una escuela accedan a datos de otra escuela?
Registro de auditoría: ¿Se registran y monitorean todos los intentos de acceso a datos?
Pruebas de penetración: ¿Una firma de seguridad independiente ha probado la plataforma?

Busque proveedores que puedan explicar específicamente cómo aíslan y protegen sus datos, ya sea mediante cifrado, controles de acceso o diseño arquitectónico.

La nueva realidad para las escuelas

La brecha de PowerSchool ha cambiado el panorama regulatorio. Los comisionados de privacidad han dejado claro que las escuelas no pueden simplemente confiar en los proveedores; deben verificar. Esto significa que estas diez preguntas no son solo buenas prácticas. Se están convirtiendo en un requisito legal.

Documente las respuestas que reciba. Incluya requisitos de seguridad en sus contratos. Y no tenga miedo de alejarse de proveedores que no pueden proporcionar respuestas claras.

En WhimsyLabs, creemos que la transparencia genera confianza. Estamos encantados de responder las diez preguntas para cualquier escuela que considere nuestros laboratorios de ciencias virtuales. Contáctenos y le enviaremos nuestra documentación de seguridad completa.

Referencias

AICPA. (2024). SOC 2 - SOC for Service Organizations: Trust Services Criteria. American Institute of Certified Public Accountants. https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2
BleepingComputer. (2025, January 22). PowerSchool hacker claims they stole data of 62 million students. BleepingComputer. https://www.bleepingcomputer.com/news/security/powerschool-hacker-claims-they-stole-data-of-62-million-students/
European Data Protection Board. (2024). Guidelines on the concepts of controller and processor. EDPB. https://www.edpb.europa.eu/
Future of Privacy Forum. (2024). Center for Artificial Intelligence. FPF. https://fpf.org/issue/ai-ml/
GDPR.eu. (2024). What is a Data Processing Agreement? GDPR.eu. https://gdpr.eu/what-is-data-processing-agreement/
Information Commissioner's Office. (2024). International transfers of personal data. ICO. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/
Information Commissioner's Office. (2024). Personal data breaches. ICO. https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach/
Information Commissioner's Office. (2024). Guide to the UK GDPR. ICO. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/
ISO. (2022). ISO/IEC 27001:2022 Information Security Management. International Organization for Standardization. https://www.iso.org/standard/27001
Microsoft. (2019). One simple action you can take to prevent 99.9% of attacks on your accounts. Microsoft Security Blog. https://www.microsoft.com/en-us/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/
NIST. (2024). Cybersecurity Framework 2.0. National Institute of Standards and Technology. https://www.nist.gov/cyberframework
TechTarget. (2025). PowerSchool data breach: Explaining how it happened. TechTarget. https://www.techtarget.com/whatis/feature/PowerSchool-data-breach-Explaining-how-it-happened
US Department of Education. (2024). Student Privacy Policy Office. Protecting Student Privacy. https://studentprivacy.ed.gov/
Information Commissioner's Office. (2024). Children and the UK GDPR. ICO. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/childrens-information/children-and-the-uk-gdpr/