Ir al contenido

Dictamen de auditoría · Revisión ejecutiva

Modelo y Lineamientos HolosERP

Evaluación de viabilidad comercial, técnica, operativa, legal y tecnológica, integrada con evidencia primaria trazable de Oracle NetSuite, SAP, Odoo y compliance SaaS.

  • Estado: borrador conceptual interno
  • Riesgo contractual: crítico
  • PDF contrastado: 10 páginas
  • Uso: toma de decisión ejecutiva
  • Integración de evidencia: 16 julio 2026

Decisión recomendada

Dictamen ejecutivo

El modelo de negocio propuesto es viable, pero el documento no está listo para aprobarse, ofrecerse comercialmente ni trasladarse al contrato maestro en su redacción actual.

El problema no es el modelo SaaS. El borrador convierte decisiones comerciales en garantías técnicas, operativas y jurídicas que todavía no están suficientemente definidas, medidas o demostradas.

Definición recomendada: HolosERP es un ERP SaaS totalmente gestionado, con evolución a la medida y extensibilidad controlada. HumandNet administra la infraestructura y la plataforma base. El cliente administra su operación, usuarios, permisos, configuración y datos dentro de las capacidades habilitadas. Los desarrollos, integraciones y componentes externos se incorporan mediante un proceso gobernado de evaluación, construcción, prueba, despliegue y soporte.
No aprobar todavía como instrumento contractual o promesa comercial externa. Antes deben corregirse las contradicciones y afirmaciones absolutas; definirse métricas y anexos operativos; validarse la capacidad durante 60–90 días; realizarse simulacros de restauración, incidente crítico y offboarding; y obtenerse revisión de un abogado mexicano especializado en tecnología, privacidad y propiedad intelectual.

Resultado general de la auditoría

Dictamen y riesgo por dimensión
DimensiónDictamenNivel de riesgo
Viabilidad comercialViable con correcciones de posicionamiento, alcance y promesasAlto
Viabilidad técnicaViable, pero no demostrada de forma homogénea para toda la carteraAlto
Viabilidad operativaParcial; faltan métricas, capacidad y procedimientos globalesCrítico
Viabilidad legalRequiere correcciones sustanciales en PI, datos, privacidad y salidaCrítico
CompetitividadDiferenciación válida, pero más restrictiva que los referentesMedio-alto
Preparación contractualNo listaCrítico

Capacidad operativa observada

17 capacidades evaluadas

0 demostradas globalmente

No existe aún evidencia reproducible para toda la cartera.

Evidencia parcial

11 parcialmente demostradas

Hay prácticas o casos puntuales, pero no controles globales acreditados.

Brecha material

5 no demostradas · 1 contradicha

Una capacidad contradice otra política vigente.

La ausencia de evidencia global no prueba que la capacidad no exista. Sí significa que todavía no puede ofrecerse como compromiso contractual reproducible para toda la cartera.

Bloqueadores críticos

Hallazgos que bloquean aprobación o comercialización
PrioridadHallazgoImpacto
P0“Todo desarrollo es PI de HumandNet” no distingue Odoo, OCA, vendors, copyleft, PI previa ni obra encargada.Disputas de titularidad e incumplimiento de licencias.
P0Se reconoce la titularidad de datos del cliente, pero no se garantiza una salida completa y utilizable.Lock-in, controversias comerciales y riesgo regulatorio.
P0“Disponible, respaldada y actualizada” carece de disponibilidad, RPO, RTO, retención y política de versiones.Promesas imposibles de medir o defender.
P0El SLA S1 de 1 hora/8 horas no está respaldado por guardias, monitoreo, capacidad histórica ni una política unificada.Incumplimiento contractual recurrente.
P0El máximo de 10 días para cotizar contradice la duración acumulada de E1–E5.Promesa estructuralmente incumplible.
P1P3 prohíbe componentes externos mientras P4 admite excepciones.Política contradictoria e inaplicable al ecosistema real.
P1El offboarding se declara emitido, pero no se acreditó un procedimiento integral ensayado.Salida no ejecutable ni cotizable.
P1La fórmula de estimación puede sumar entre 85% y 125% con contingencia.Cotizaciones inconsistentes y riesgo de margen.

Contradicciones y afirmaciones por corregir

SaaS, PaaS y administración del cliente

“El cliente usa la plataforma, nunca la administra” es excesivo. Un servicio sigue siendo SaaS aunque el cliente administre usuarios, roles, configuraciones y datos dentro de la aplicación. Una API, SDK o extensión controlada tampoco lo convierte automáticamente en PaaS.

El cliente no recibe administración sobre infraestructura, sistema operativo o motor de base de datos. Podrá administrar usuarios, permisos, configuración funcional, integraciones y datos dentro de las capacidades expresamente habilitadas.

Datos, base de datos y propiedad intelectual

La separación entre “datos del cliente” y “contenedor de HumandNet” es insuficiente. Debe existir una matriz para datos operativos y personales; configuración funcional; esquema estándar Odoo/PostgreSQL; código propio; código Odoo, OCA y vendors; desarrollos financiados por el cliente; documentación, secretos e infraestructura.

Un dump puede incluir información, relaciones, configuración y metadatos, pero no necesariamente todo el código fuente de HumandNet. Gran parte del esquema puede derivar de Odoo y sus módulos.

No se entrega acceso directo ni copia nativa de la base de datos como parte del servicio estándar, salvo obligación legal o acuerdo expreso. HumandNet proporcionará el paquete de portabilidad definido contractualmente, respetando licencias y derechos aplicables.

“Todo desarrollo es PI de HumandNet”

La afirmación no es jurídicamente segura. La titularidad depende de autoría, relaciones laborales o contractuales, cesiones escritas, componentes reutilizados, código de terceros, licencias LGPL/AGPL/OEEL o propietarias y condiciones de la obra encargada.

HumandNet conserva la titularidad de sus desarrollos originales y componentes preexistentes, sin afectar derechos de Odoo, OCA, vendors, el cliente u otros terceros. Los derechos sobre desarrollos específicos se definirán en cada Orden de Servicio.

“Nunca licenciamiento”

La suscripción por accesos no elimina las licencias subyacentes: Odoo Community 18 usa LGPLv3; Odoo Enterprise aplica OEEL v1.0 y suscripción; las Odoo Apps de Odoo SA son propietarias salvo indicación distinta; OCA y terceros requieren revisión individual. Las fuentes auditadas no prueban que los módulos de HolosERP sean AGPL ni permiten atribuirles una obligación genérica.

El servicio se comercializa mediante suscripción de acceso. Los componentes de software subyacentes permanecen sujetos a sus respectivas licencias y condiciones de uso.

Módulos de terceros

P3 y P4 deben unificarse: “No se incorporan componentes externos salvo aquellos aprobados conforme al procedimiento P4”. El expediente mínimo debe incluir fuente y autor; licencia y compatibilidad; compra o autorización; versión de Odoo y localización mexicana; dependencias; revisión de código, seguridad, secretos y calidad; SBOM; pruebas funcionales, fiscales, contables y de rendimiento; mantenimiento, actualización y abandono; reversión y desinstalación; responsable, costos y tratamiento de datos.

La aprobación no implica garantizar todo el producto del vendor. HumandNet sí responde por errores propios de selección, configuración o integración.

Garantía

Los 30 días requieren inicio definido, aceptación expresa o tácita, tratamiento de entregas parciales, regresiones, requisitos no funcionales, defectos de integración, extensión limitada tras corrección y relación entre FLR, Orden de Servicio y aceptación. La prioridad debe depender del impacto real: una regresión crítica puede ser S1.

Estimaciones y plazo de cotización

Los porcentajes suman 70%–110%; con contingencia fija de 15%, el total alcanza 85%–125%. La fórmula debe normalizarse sobre el esfuerzo base y mostrar la contingencia por separado.

Objetivo de cotización: 10 días hábiles desde la recepción del FLR validado, excluyendo esperas del cliente y casos de complejidad excepcional documentada.

Para incertidumbre alta debe permitirse discovery o contratación por tiempo y materiales.

SLA y capacidad de soporte

Contradicción: el documento propone para S1 primera respuesta en 1 hora hábil y resolución objetivo en 8 horas hábiles, mientras la política operativa vigente usa otra matriz. Helpdesk ya fue definido internamente como fuente oficial desde helpdesk.ticket.create_date. No deben coexistir taxonomías ni relojes distintos.
Separación obligatoria de métricas
MétricaDefinición
Primera respuestaComunicación humana con clasificación inicial.
DiagnósticoOrigen probable identificado y documentado.
WorkaroundAlternativa temporal que reduce materialmente el impacto.
RestauraciónRecuperación de la operación crítica.
Resolución definitivaCorrección permanente o cierre de causa raíz.

Para S1 es más sostenible comprometer restauración o workaround que corrección definitiva en ocho horas.

Elementos contractuales faltantes

  • Calendario, zona horaria, festivos y hora de corte.
  • Inicio y final de cada métrica y fuente oficial.
  • Estados que suspenden el reloj, notificación y reanudación.
  • Mantenimiento programado y dependencias externas.
  • Disputa de severidad.
  • Créditos o remedios por incumplimiento.
  • Tratamiento del incumplimiento crónico.
  • Cobertura fuera de horario y guardias.

Recomendación: no trasladar 1 hora/8 horas al contrato hasta medir 60–90 días y validar roster N1/N2/N3, guardias y sustituciones, alertamiento, escalamiento, capacidad por severidad y cumplimiento histórico.

Disponibilidad, respaldos y recuperación

“Plataforma disponible, respaldada y actualizada” debe sustituirse por compromisos medibles.

Controles que deben definirse y probarse
ControlDefinición necesaria
DisponibilidadPorcentaje mensual, fuente, exclusiones y mantenimiento.
BackupsFrecuencia, alcance, cifrado, ubicación y retención.
RPOPérdida máxima aceptable de datos.
RTOTiempo objetivo de restauración.
RestauraciónFrecuencia de pruebas y evidencia de éxito.
PITRDisponibilidad por plan, retención WAL y límites.
ActualizacionesParches, módulos y migraciones mayores.
Ciclo de vidaVersiones soportadas, mantenimiento limitado y fin de soporte.
La restauración aislada construida para PasteleriaOK demuestra conocimiento técnico, no una política global para todos los clientes. No debe ofrecerse PITR hasta implementar y probar archivado continuo de WAL o tecnología equivalente.

Portabilidad, privacidad y offboarding

Salida mínima

Exportación utilizable

Datos maestros y transacciones, relaciones e IDs, documentos y adjuntos, XML CFDI, UUID, cancelaciones y relaciones fiscales, catálogos, pólizas, auxiliares, balanzas, configuración, fecha de corte, diccionario y conciliación.

Privacidad

Anexo de tratamiento

Responsable/encargado, instrucciones, categorías, confidencialidad, seguridad, ARCO, subencargados, transferencias, incidentes, auditoría, retorno, bloqueo, conservación y supresión.

Terminación

Offboarding ensayado

Fecha, transición, solo lectura, revocación, retención fiscal/legal, eliminación productiva, expiración de backups, certificado, litigios y responsables.

La transformación, depuración o migración asistida puede cobrarse. La devolución básica de datos no debería depender de una negociación iniciada al finalizar el contrato. Las solicitudes ARCO tampoco pueden condicionarse al pago de consultoría o exportación.

Suspensión por adeudos

  • Adeudo líquido, vencido y no controvertido.
  • Aviso previo, periodo de cura y suspensión gradual.
  • Excepciones para ARCO, CFDI y exportación de salida.
  • No eliminar datos únicamente por adeudo.
  • Diferenciar claramente reactivación y terminación.

Contraste con referentes de mercado

La referencia “Netflix de Oracle” se interpretó como Oracle NetSuite.

Comparación de prácticas relevantes para HolosERP
TemaOdooSAP Private/TailoredOracle NetSuiteImplicación
AdministraciónOdoo.sh prueba gestión de proyecto, ramas, backups e importación; no se traslada a Online.Cliente configura procesos y seguridad aplicativa/datos; no se concede SO o base.Cliente gestiona roles, usuarios y credenciales; no infraestructura Oracle.RACI aplicativa/infraestructura, no “nunca administra”.
DesarrolloOdoo.sh admite addons, submódulos y XML-RPC con límites; Online no admite apps no estándar. Studio no quedó probado.Admite modifications, Customer ABAP Add-ons e interfaces bajo gobierno.SuiteCloud/SuiteScript/SuiteApps provienen de los SSA, no de HSDP sola.Extensibilidad gobernada; no inferir clasificación SaaS/PaaS de estas fuentes.
Backups y DRCloud publica objetivos; Odoo.sh concreta producción y excluye recovery de staging/dev.El suplemento no publica RPO/RTO general; requiere SLA/SDG/Order.RPO 1 h/RTO 12 h sólo tras desastre declarado y DR activado, sujeto a Exceptions Policy.Probar y pactar métricas propias.
Disponibilidad99.9% target mensual; la página declara que no es garantía vinculante.Sin porcentaje ni créditos en el suplemento analizado.99.7% y créditos 10/15/25% condicionados; logs Oracle, solicitud y remedio exclusivo.Separar target, obligación, SLI, exclusiones y remedio.
SoporteNo acredita una matriz completa para HolosERP.Límites sí; tiempos requieren Cloud Support Schedule.Response Time Goals según Basic/Premium; no tiempos de resolución.Separar respuesta, diagnóstico, workaround, restore y resolución.
SalidaBackup Online y dump de producción Odoo.sh por procedimientos distintos.Export final solicitado antes de terminar; dos semanas para verificar; sin catálogo integral.Retrieval a solicitud dentro de 60 días; asistencia facturable; sin promesa de dump/formato.Catálogo, ventana, verificación, costos y borrado contractuales.
UpgradesCiclo Odoo.sh no se atribuye a Online/on-premise.Cliente instala upgrades salvo inicial y mantiene versión soportada.No reducción material está en SSA; HSDP sola no prueba el régimen de upgrades.Política propia de versiones, custom code y EOL.
ResponsabilidadCustomizaciones matizan uptime, no trasladan toda responsabilidad.El cap general requiere GTC/Agreement separado.Cap general está en SSA; HSDP sólo hace exclusivos créditos específicos.Definir responsabilidad compartida y límites en contrato.
Límites: los dos enlaces SAP suministrados resuelven al mismo suplemento de seis páginas para Private/Tailored Option; no prueba Public Edition y SLA, DPA, GTC, Order Form y soporte siguen separados. HSDP NetSuite no prueba por sí sola SuiteCloud, exportación autoservicio, upgrades o límites generales. Odoo 18 licencias, Odoo 19 hosting, Online, Odoo.sh y on-premise son alcances distintos; la FAQ prueba una shell, no una promesa expresa de SSH.

Trazabilidad de fuentes

Cada claim de mercado queda anclado al documento exacto, versión, sección y condición. Los hashes corresponden a la captura del 16 de julio de 2026 y deben recalcularse si el proveedor sustituye el activo.

Inventario primario exacto de producto y mercado
ProveedorDocumento y versiónPáginas / SHA-256AlcanceLimitación
OracleController SSA v061526 US ENG10
cf94ddab…266c
SuiteCloud, datos, updates, terminación, privacidad R&D y responsabilidad.Oracle America/California; no prueba paquete mexicano.
OracleSSA v061526 US ENG9
6f71a47c…d962
Suscripción, datos, SuiteCloud, updates, garantías y cap.No incluye régimen R&D del Controller SSA.
OracleHosting & Support Delivery Policies v061526, efectiva 15-Jun-202618
f958600d…8c76
99.7%, créditos, soporte, DR 12 h/1 h, retrieval 60 días.Sujeta a incorporación, Order y Exceptions Policy.
SAPPrivate/Tailored Supplemental Terms enGLOBAL.v.7-20266
9a948ab6…8bd7
Roles, custom code, mantenimiento, soporte y export final.No Public Edition; sin SLA/RPO/RTO/cap general.
SAPLanding con pdf-asset suministradoMismo PDF y hashProcedencia alternativa.No es una segunda condición contractual.
OdooLicenses, Odoo 18Web
67bd938c…2aa2
LGPLv3, OEEL v1.0, Odoo Apps SA y compatibilidad.No prueba licencia de cada módulo OCA/vendor.
OdooHosting, Odoo 19Web
89aca0dd…9dbb
Online, Odoo.sh, on-premise y transferencias.No mezclar con licencias v18 ni modalidades.
OdooOdoo.sh FAQWeb
a4bf2bcc…26e7a
Addons, builds, XML-RPC, DB read-only dedicada, dumps y backup.No afirma SSH; no aplica a Online.
OdooOdoo Cloud Hosting SLAWeb
fae2ff18…a0ea
Targets 99.9%, backups, RPO/RTO y seguridad en odoo.com.La página dice que no son garantías vinculantes.

Afirmación → evidencia → condición → aplicación

AfirmaciónEvidencia y página/secciónCondiciónAplicación HolosERP
NetSuite 99.7% y créditosHSDP III.A, pp. 14-15Incorporación, EP, impacto, solicitud, cuenta al corriente; 10/15/25% como remedio exclusivo.Definir SLI, elegibilidad y créditos propios.
NetSuite soporteHSDP Definitions pp. 5-6; II.D pp. 12-14Basic/Premium y obligaciones cliente; Response Time Goals, no resolución.Separar cinco relojes de soporte.
NetSuite RPO/RTOHSDP I.O, pp. 9-10Desastre declarado, plan activado, EP; RPO excluye cargas en curso.No prometer sin escenario y prueba.
NetSuite retrievalHSDP I.T, pp. 10-11Solicitud dentro de 60 días; asistencia facturable; sin dump/formato.Catálogo y test propios.
NetSuite export, SuiteCloud, upgrades y capSSA Definitions/§§6.8, 10 y 13.2SSA/Order aplicables; no provienen de HSDP sola.Citar instrumento correcto y no decir “autoservicio” sin prueba.
SAP administración/custom code/upgradesSuplemento §§2.1-2.6 y 3, pp. 1-5Sólo Private/Tailored; Order/SDG completan alcance.RACI y extensibilidad gobernada.
SAP export finalSuplemento §2.4, p. 3Solicitud pre-terminación y dos semanas de verificación.Definir formato, adjuntos y aceptación.
Odoo licenciasL18, Community/Enterprise/Odoo AppsVersión 18 y licencia concreta de cada módulo.SBOM/NOTICE y revisión componente a componente.
Odoo administración/export/upgradesH19 + FAQ Odoo.shPor modalidad; producción distinta de staging/dev.No trasladar shell/builds/dumps/upgrade policy a Online.
Responsabilidad compartidaSAP §§2.6/3; HSDP I.I/K; Odoo por modalidadCada fuente distribuye ámbitos distintos.Accountability único no significa responsabilidad absoluta.

Compliance SaaS

El baseline legal mexicano no es coleccionar certificaciones. Es privacidad lícita, seguridad proporcional, confidencialidad, incidentes, encargados/subencargados, transferencias, conservación, evidencia, PI/licencias y obligaciones fiscales/mercantiles propias.

A · Legal general

Piso mexicano

Privacidad, avisos, consentimiento, ARCO, seguridad, incidentes, contratos de encargo, transferencias, evidencia electrónica, conservación, fiscal, PI, OSS, secretos y personal propio.

B · Condicional

Puertas de alcance

Sensibles/biometría, nómina, CFDI cliente, NOM-151, consumo, PCI, fintech/SPEI/banca, GDPR/UK/CCPA, salud, gobierno, accesibilidad y decisiones automatizadas.

C/D · Contrato y estándar

Prometer cambia la obligación

MSA, DPA, SLA, seguridad, DR, logs, offboarding, residencia, auditoría y responsabilidad son C al pactarse. Marcos voluntarios son D hasta que regulación o contrato los active.

No son obligaciones legales universales: ISO 27001/27017/27018, SOC 2, CSA STAR, NIST, CIS, OWASP, SLSA/SBOM e ISO 22301. Se vuelven contractuales si se prometen, regulatorias si una norma sectorial aplicable las incorpora o comercialmente necesarias si un comprador condiciona la venta. SOC 2 es una atestación, no una certificación.

Mapa amplio de controles

ClaseControles concretosEvidencia mínima
A1-A5Inventario/roles; avisos; consentimiento; minimización/retención; ARCO 20/15.Mapa de flujos, versiones, registros, matriz de retención y tickets probados.
A6-A10Seguridad por riesgo; confidencialidad; vulneraciones; encargados/nube; transferencias.Riesgo, IAM, playbook, DPA, subencargados y registro de transferencias.
A11-A17Evidencia electrónica; conservación mercantil/fiscal; PI; OSS; secretos; datos laborales propios.Expediente íntegro, CFDI/acuses, cadena de titularidad, SBOM/NOTICE y controles RH.
B1-B5Sensibles/biometría; nómina cliente; CFDI cliente; NOM-151; consumidores.DPIA, DPA, PAC/XSD, constancias PSC y flujo de compra/quejas.
B6-B9PCI; fintech; SPEI; clientes bancarios/CNBV.Scope CDE, opinión/autorización, rol regulatorio, BCP y derechos de autoridad.
B10-B17GDPR, UK, CCPA, otros países, salud, sector público, accesibilidad y automatización.Memo territorial/sectorial, transferencias, derechos, segregación y revisión humana.
C1-C7MSA, DPA, subencargados, seguridad, incidentes, SLA/soporte, backup/DR.Instrumentos firmados, control-evidencia, SLI, créditos, restore y DR exercise.
C8-C14Logs, offboarding, datos/PI, assurance, residencia, accesibilidad, responsabilidad/seguros.Logs íntegros, export/checksum, borrado, evidence pack, regiones, VPAT y pólizas.
D1-D6ISO 27001/27017/27018, SOC 2, CSA STAR y NIST CSF.Alcance, SoA/mapeos, evidencia de periodo, CAIQ y perfiles actual/objetivo.
D7-D12CIS, ASVS, SAMM, SLSA/SBOM, ISO 22301 y WCAG.Assessment, pruebas, provenance/SBOM, BIA/ejercicios y auditoría accesible.

Minimum viable compliance

  • Entidad, producto, nube, países, roles y puertas G1-G10 definidos.
  • Inventario/mapa de datos, avisos, consentimiento y retención versionados.
  • ARCO probado con plazos 20/15; incidentes sin inventar “72 horas” como regla mexicana universal.
  • Riesgo aprobado; mínimo privilegio, MFA admin, cifrado en tránsito, secretos, parcheo, backup y monitoreo con evidencia.
  • MSA, DPA, SLA, seguridad, subencargados y residencia sin claims no demostrados.
  • Restore, incidente y offboarding probados con adjuntos, diccionario, checksum, revocación y borrado residual.
  • Evidencia electrónica, CFDI propio y módulo/PAC cliente validados según alcance.
  • SBOM, NOTICE, licencias Odoo/terceros y cadena de titularidad completos.
  • Tarjetas excluidas o PCI evaluado; sectores/jurisdicciones B cerrados o fuera de alcance.
  • Evidence pack con dueño, periodo, excepción y próxima revisión.
  • Memo de aplicabilidad firmado por abogado mexicano y especialistas sectoriales.

Documentos y anexos contractuales necesarios

Arquitectura documental mínima
DocumentoContenido mínimo
Contrato maestroObjeto, vigencia, jerarquía, responsabilidad y terminación.
Orden de ServicioAlcance, precio, entregables, criterios y supuestos.
Anexo de SLADisponibilidad, soporte, métricas, exclusiones y remedios.
Anexo de seguridadControles, vulnerabilidades, accesos e incidentes.
Tratamiento de datosRoles, instrucciones, ARCO, subencargados y eliminación.
Matriz de PI y licenciasOdoo, OCA, vendors, código propio y desarrollos específicos.
Política de versionesSoporte, parches, mantenimiento, migraciones y EOL.
Backup y DRRetención, RPO, RTO, PITR y simulacros.
PortabilidadDatos, formatos, relaciones, plazos y costos.
OffboardingExportación, revocación, conservación, eliminación y evidencia.
Política de tercerosEvaluación, aprobación, mantenimiento y retiro.
Evidencia electrónicaFirmas, versiones, trazabilidad, conservación y NOM-151 cuando proceda.

Plan de acción 30/60/90 días

Días 0–30 · Definir y medir

  • Resolver prelación entre ley, licencias, contrato, DPA/SLA, Orden de Servicio, rector, lineamientos y procesos.
  • Aprobar, versionar y publicar el documento rector y dependencias.
  • Definir RACI, gobierno y SLA de excepciones.
  • Verificar infraestructura, tenancy, aislamiento, respaldos y confidencialidad.
  • Congelar SLA 1 h/8 h, PITR y RPO/RTO contractuales.
  • Crear CMDB y unificar SLA en Helpdesk.
  • Completar G1-G10, inventario/mapa de datos y roles responsable/encargado.
  • Versionar avisos, retención y MSA/DPA/SLA/seguridad.
  • Inventariar subencargados, regiones y accesos.
  • Crear matriz PI/licencias y SBOM inicial.
  • Revisar HUM-OFB y definir portabilidad.

Días 31–60 · Implementar controles

  • Automatizar backups de base y filestore; cifrado, copia externa y alertas.
  • Estandarizar pruebas, anonimización y CI/CD con rollback.
  • Implementar garantía V4, expediente P4 y exportación conciliada.
  • Implantar IAM, MFA admin, recertificación, vulnerabilidades y logs críticos.
  • Pilotar PITR sin prometerlo.
  • Implementar ARCO, consentimiento y evidencia electrónica.
  • Implantar incident response con criterio mexicano de notificación.
  • Validar CFDI propio y módulo/PAC si aplica.
  • Excluir tarjetas o evaluar PCI; bloquear mercados B no aprobados.

Días 61–90 · Demostrar capacidad

  • Ejecutar restauraciones y medir RPO/RTO.
  • Simular S1 y vulneración de datos.
  • Medir respuesta, workaround, restauración y resolución.
  • Ejecutar offboarding con exportación, checksum, revocación y borrado residual.
  • Medir SLA real al menos 60 días cuando sea posible.
  • Auditar backups, monitoreo, CI/CD, accesos y evidence pack.
  • Completar el minimum viable compliance y cerrar críticos.
  • Ajustar compromisos a resultados medidos.
  • Obtener revisión jurídica mexicana y especialistas sectoriales.

Criterios para aprobar la siguiente versión

  • Documento rector aprobado, firmado, versionado, publicado y con vigencia.
  • Prelación que protege ley, licencias e instrumentos firmados.
  • HUM-LIN-HOL y anexos SLA/DPA aprobados y publicados, sin respuestas institucionales contradictorias.
  • RACI de gobierno con quorum, mayorías, desempate, delegación, conflictos, registro y SLA de excepciones.
  • Claims de infraestructura y aislamiento verificados contra la arquitectura real.
  • Adopción con criterios de salida objetivos, medibles y aceptados.
  • Afirmaciones absolutas eliminadas o condicionadas.
  • P3 y P4 integradas en una política coherente.
  • Matriz de PI y licencias por tipo de componente.
  • Catálogo de datos y paquete de portabilidad definidos.
  • Disponibilidad, RPO, RTO y retención definidos.
  • Restauraciones probadas y documentadas.
  • Odoo Helpdesk como única fuente oficial del SLA.
  • Capacidad N1/N2/N3 medida.
  • Fórmula de estimación corregida.
  • Plazo de cotización iniciado desde un evento controlable.
  • HUM-OFB revisado mediante simulacro.
  • Anexos de privacidad, seguridad e incidentes creados.
  • G1-G10, inventario de datos y roles responsable/encargado aprobados.
  • Avisos, consentimiento, ARCO 20/15 y retención probados.
  • Subencargados, incidentes, offboarding y residencia contractualmente auditables.
  • MFA admin, vulnerabilidades, logs, restore y simulacro con evidencia vigente.
  • SBOM, NOTICE, licencias Odoo/terceros y cadena de titularidad revisados.
  • CFDI/PAC, PCI, salud, finanzas, gobierno, consumo y países cerrados o fuera de alcance.
  • Sin claims de estándares, certificaciones o métricas no demostrados.
  • Minimum viable compliance completo o N/A fundamentados.
  • Redacción y aplicabilidad validadas por abogado mexicano y especialistas sectoriales.

Auditoría complementaria del PDF HUM-MOD-HOL-v1.0

Limitación de alcance: se auditó el texto parseado y las imágenes o referencias visuales suministradas del PDF de 10 páginas. No se inspeccionó el archivo binario PDF, sus metadatos, firmas digitales ni propiedades técnicas.

El PDF no reduce los riesgos: los agrava al presentar políticas no aprobadas como reglas uniformes y declararse en la página 1 “Documento rector — gobierna a todos los lineamientos, procesos y contratos”, aun siendo “Borrador v1.0” sin firmas visibles.

Clasificación de hallazgos diferenciales

Hallazgos nuevos, agravados y ya cubiertos
ClasificaciónHallazgo diferencialReferenciaNivel
AgravadoPretende gobernar lineamientos, procesos y contratos siendo borrador sin firmas.pp. 1, 8, 10Crítico
NuevoP7 afirma SLA “publicados”, pero HUM-LIN-HOL figura “Por elaborar”.pp. 6, 8Crítico
NuevoJerarquía absoluta invertida: un documento interno no prevalece sobre ley, licencias ni contratos firmados.p. 8Crítico
Cubierto y agravado“Operando, disponible, respaldada, actualizada y evolucionando”, “garantiza” y “un solo responsable” carecen de métricas, exclusiones y responsabilidad compartida.pp. 2, 4Crítico
Cubierto y agravado“Propiedad plena” y “cien por ciento del valor” no distinguen titularidad, datos personales, conservación fiscal ni completitud.pp. 2, 4Crítico
Nuevo“Infraestructura propia” requiere verificación; recursos de terceros deben describirse como contratados o administrados.p. 2Alto
Nuevo“Todos los clientes hospedados” sugiere recursos compartidos: deben aclararse aislamiento, blast radius, backups, accesos y confidencialidad.p. 4Crítico
Cubierto y agravadoSolicitar BD, módulo o acceso no convierte por sí solo SaaS en PaaS/IaaS; un dump no sirve únicamente para replicar.pp. 3, 4, 9Alto
Ya cubiertoNegación de código, dumps, credenciales y licencias, y atribución total de PI, exige distinguir activos, licencias, datos y portabilidad.pp. 2, 4Crítico
Cubierto y agravadoP4 exige controles válidos, pero el rechazo “sin excepción” puede impedir mitigaciones y no reemplaza el análisis integral.p. 5Alto
NuevoCinco pilares “en un solo servicio” frente a tres componentes “siempre cobrados” por separado.pp. 5, 7Alto
NuevoExploración pagada obligatoria y cierre de Adopción “con confianza”; este último no es auditable.p. 7Alto
NuevoN1/N2/N3 se declara sin evidencia de dotación, cobertura, guardias, escalamiento o desempeño.p. 7Alto
NuevoDecisión de “tres direcciones” con cuatro funciones, sin quorum, mayoría, desempate, delegación, conflictos, registro ni SLA.p. 10Alto
AgravadoAgromol justifica controles del caso, no una conclusión universal sobre solicitudes de base de datos.p. 9Alto
AgravadoEl guion dice que las reglas aplican a todos, pero reconoce legacy, regularización y excepciones.pp. 8, 9, 10Alto

Observaciones por página

Trazabilidad completa de páginas 1 a 10
PáginaAfirmaciones auditadasDictamen diferencial
1Documento rector; gobierna lineamientos, procesos y contratos; Borrador v1.0; firmas ausentes.La pretensión normativa excede su estado. Debe marcarse “no vigente” hasta aprobación, firma, publicación y vigencia.
2Operando, disponible, respaldada, actualizada y evolucionando; nunca licenciamiento; infraestructura propia; cliente nunca administra; propiedad plena; responsable único; no entrega de código, dump, credenciales ni licencias.Sustituir absolutos por alcance, métricas, exclusiones, licencias y responsabilidad compartida. Verificar infraestructura.
3Solicitar BD, módulo o acceso cambia SaaS a PaaS/IaaS; SaaS idéntico, autoservicio y sin personalización; un “sí” detiene la solicitud.Confunde modalidad con acceso/extensibilidad. Evaluar riesgo, necesidad y salvaguardas, no etiquetas.
4P1 protege a todos los hospedados; P2 garantiza históricos; dump transfiere plataforma; exportación entrega cien por ciento del valor; toda PI es de HumandNet.Definir tenancy, aislamiento, catálogo de exportación, integridad y separación de datos, esquema, código y licencias.
5P4 restringe fuente, exige licencia, mantenimiento, pruebas y tres aprobaciones; rechazo sin excepción; P5; tres componentes cobrados; infraestructura trasladada; desarrollo menor sin cuantificar.Formalizar expediente, autoridad y excepciones. Conciliar precios, incluidos, adicionales y límites.
6P7 declara SLA publicados; P8 ofrece exportación como servicio, gracia y paquetes post-cierre.No declarar publicado lo que p. 8 marca por elaborar. Definir salida básica antes del cierre.
7Cinco pilares sin cambios y en un solo servicio; Exploración pagada; Adopción hasta operar con confianza; N1/N2/N3.Alinear empaquetado y P6; transparentar Exploración; reemplazar confianza por competencia y aceptación verificables.
8Jerarquía absoluta; HUM-LIN-HOL y contrato por elaborar; HUM-REQ pendiente; HUM-OFB emitidos; referencia obligatoria; regularización.La jerarquía no aplica con instrumentos incompletos. Renovaciones requieren incorporación expresa; contratos vigentes no cambian unilateralmente.
9Agromol busca replicar Odoo; una BD no resuelve necesidad legítima; reglas para todos.La intención concreta sustenta el caso, no una negación universal. Legacy y excepciones impiden uniformidad actual.
10Dirección General propietaria; Comercial/Técnico Operativa interpretan; Desarrollo dictamina; cambios por tres direcciones; excepciones; revisión anual; firmas vacías.Definir órgano y reglas. Revisión anual no sustituye versiones, vigencia, trazabilidad ni gestión de excepciones.

Correcciones normativas recomendadas

Orden de prelación

  1. Leyes, reglamentos y resoluciones obligatorias.
  2. Licencias de software y derechos de terceros en su ámbito.
  3. Contrato maestro y convenios firmados.
  4. Anexos firmados de datos, seguridad y SLA; el especializado prevalece en su materia.
  5. Orden de Servicio para alcance, entregables, precio y criterios, sin reducir obligaciones superiores.
  6. Políticas incorporadas expresamente, con código, versión y fecha.
  7. Lineamientos internos, sin capacidad de modificar unilateralmente lo anterior.

La prelación definitiva requiere validación jurídica mexicana y armonización contractual. Publicar una política interna no equivale a aceptación contractual.

Gobierno y excepciones

Definir órgano inequívoco, RACI, integrantes con voto y consultivos, quorum, mayorías y unanimidad, desempate, delegaciones y suplencias, conflictos de interés, expediente y vigencia de excepciones, SLA y reconsideración, y registro de versiones, decisiones y comunicaciones.

Responsabilidad y arquitectura

“Un solo responsable de que todo funcione” debe ser un solo punto de accountability frente al cliente, respaldado por una matriz compartida. HumandNet responde por coordinación y componentes bajo su control; PAC, SAT, telecomunicaciones, nube, vendors y uso del cliente requieren obligaciones, dependencias, escalamiento y exclusiones, sin excluir responsabilidades irrenunciables.

“Infraestructura propia” debe reemplazarse por la descripción comprobada: propiedad de, contratada por o administrada por HumandNet. Si hay recursos compartidos, documentar tenancy, aislamiento, credenciales, backups, blast radius y confidencialidad.

Datos, exportación y Adopción

Separar derechos contractuales del cliente; derechos de titulares y roles de privacidad; obligaciones fiscales, contables, laborales y de conservación; y derechos sobre software, esquema, configuración, metadatos y terceros. Sustituir “históricos” y “cien por ciento del valor” por catálogo con alcance, periodos, formatos, relaciones, adjuntos, metadatos, conciliación, exclusiones, plazo y costo.

Adopción debe cerrar con usuarios clave capacitados, evaluación mínima, procesos críticos sin asistencia, incidencias bloqueantes cerradas, documentación entregada y aceptación formal.

Conclusión diferencial

El PDF eleva el riesgo al convertir definiciones no aprobadas en aparentes respuestas institucionales. La contradicción inmediata es afirmar que los SLA están publicados mientras HUM-LIN-HOL figura por elaborar. La estructural es pretender que un borrador sin firmas gobierne contratos y documentos inexistentes o no validados.

Debe marcarse HUM-MOD-HOL-v1.0 como borrador no vigente y no utilizable como respuesta contractual o institucional. Hasta resolver prelación, documentos dependientes, gobierno, arquitectura, capacidad y empaquetado, no debe presentarse como política vigente, regla uniforme ni documento con prevalencia contractual.

Conclusión final

HumandNet no entrega únicamente acceso a un ERP; entrega una plataforma operada, acompañada y evolucionada bajo gobierno técnico.

La propuesta puede ser diferenciada, pero debe expresarse como resultados medibles: servicio conforme a niveles definidos, no “siempre disponible”; mantenimiento según versiones, no “siempre actualizado”; exportación según catálogo; recuperación según RPO/RTO probado; evolución cotizada y gobernada; y derechos definidos por activo, no propiedad absoluta de todo el software.

Conclusión: hasta completar estos controles, el documento debe mantenerse como borrador conceptual interno, no como promesa comercial o contractual vigente.

Nota legal

Este dictamen es una evaluación técnica, operativa y documental. No constituye opinión legal ni sustituye la revisión de un abogado mexicano especializado en servicios tecnológicos, privacidad, propiedad intelectual, contratación electrónica, fiscal y competencia, ni la de especialistas sectoriales o de cada jurisdicción aplicable. La aplicabilidad debe revalidarse por entidad, producto, flujo de datos, cliente, país, industria, contrato y fecha antes de comercializar o asumir compromisos.

Volver al inicio

HumandNet · Compromiso Humano · Documento interno