
Última actualización: junio de 2026.
Quieres una auditoría, pero la idea de dar acceso a un especialista externo a tu tienda PrestaShop en producción te hace dudar, y con razón. Tu tienda contiene datos de clientes, historial de pedidos, configuración de pagos y las credenciales con las que funciona tu negocio. Entregar las llaves a un desconocido es un riesgo real, y ser prudente no es paranoia: es buena higiene operativa. La buena noticia es que una auditoría competente casi nunca necesita el acceso profundo que muchos temen. En este artículo explicamos exactamente qué requieren realmente los distintos tipos de auditoría, cómo conceder acceso de forma segura a cualquier auditor, a qué debería comprometerse por escrito un profesional fiable, qué normas del RGPD se aplican a las tiendas de la UE y qué señales de alerta deberían hacerte abandonar.
¿Qué acceso necesita realmente una auditoría?

La suposición instintiva —"necesitarán mi acceso de administrador"— es errónea para la mayoría de auditorías. El nivel de acceso depende por completo de lo que se vaya a revisar, y el abanico es más amplio de lo que mucha gente espera.
Auditorías que no necesitan nada más que tu URL
La mayoría de las auditorías habituales se realizan íntegramente desde fuera, sobre tu sitio web público, sin ningún inicio de sesión. Una auditoría SEO lee lo que lee Google: tu HTML renderizado, directivas robots, mapas del sitio, etiquetas canonical, datos estructurados y enlazado interno. Una revisión de rendimiento mide cargas reales de página, entrega de recursos, cabeceras de caché y Core Web Vitals desde el navegador. Una revisión de tema o de alojamiento puede evaluar casi todo lo importante —configuración de HTTPS y TLS, respuesta del servidor, cadenas de redirección, rutas expuestas— sin iniciar sesión en ningún momento. Este es el enfoque "de fuera hacia dentro", y así empezamos cada encargo en nuestro centro de servicios expertos. Introduces la URL de tu tienda en la página del servicio, se ejecuta una comprobación de preparación de solo lectura (confirma HTTPS/TLS y detecta PrestaShop, sin cambiar nada) y solo entonces se encarga la auditoría: el dominio simplemente viaja con el pedido.
Auditorías que pueden necesitar acceso de solo lectura
Algunos trabajos más profundos sí se benefician de una mirada dentro del back office; por ejemplo, una revisión de configuración, el diagnóstico de un conflicto entre módulos o partes de una auditoría de seguridad que inspeccionen módulos instalados, permisos y ajustes. Incluso aquí, el auditor necesita leer, no cambiar. Una cuenta de empleado de solo lectura basta para ver la estructura del catálogo, la lista de módulos y la configuración sin poder editar nada. Y algo crucial: ninguna auditoría necesita una copia de tu base de datos de clientes o pedidos. Ninguna.
La forma segura de conceder acceso a cualquier auditor
Este consejo se aplica tanto a nosotros como a cualquier otro auditor que puedas contratar. Trátalo como una lista de comprobación, sea quien sea el proveedor.
- Nunca compartas tu propio usuario ni tu contraseña. Tu cuenta personal de administrador es solo tuya. Compartirla elimina cualquier rastro de auditoría, expone todo lo que puedes hacer y no puede revocarse limpiamente. Nunca hay una buena razón para hacerlo.
- Crea una cuenta de empleado temporal y dedicada. En PrestaShop, ve a
Advanced Parameters > Teamy añade un nuevo empleado para el auditor con su propio correo electrónico y contraseña. Así tendrás una cuenta limpia, identificable por nombre, que podrás desactivar en cuanto termine el trabajo. - Aplica el principio de mínimos privilegios. Usa un perfil de permisos limitado únicamente a derechos de lectura/visualización. El sistema de permisos de PrestaShop permite conceder "View" sin "Add", "Edit" ni "Delete". Bloquea por completo el acceso a las secciones de clientes y pedidos salvo que una comprobación concreta y acordada lo requiera de verdad.
- Limita el acceso en el tiempo. Concede acceso solo durante la ventana de auditoría. Anota la fecha en la que esperas que termine el trabajo y planifica revocarlo ese mismo día.
- Delega, no entregues credenciales, para herramientas de terceros. En Google Search Console o Analytics, añade al auditor como usuario delegado con acceso de lectura mediante el sistema de uso compartido de la propia plataforma; nunca le des tu contraseña de Google. Lo mismo se aplica al panel de alojamiento: una subcuenta con alcance limitado es mejor que tus credenciales maestras.
- Revoca el acceso al terminar. En cuanto se entregue la auditoría, desactiva o elimina la cuenta temporal y retira cualquier acceso delegado. Un auditor fiable te lo recordará; hazlo igualmente por iniciativa propia.
- Prefiere el enfoque de fuera hacia dentro. Si una auditoría puede hacerse desde la URL pública, que se haga así. El menor acceso que permita realizar bien el trabajo es siempre la cantidad correcta.
A qué se compromete un auditor fiable
La forma en que un auditor gestiona el acceso dice mucho sobre cómo gestionará tus datos. Estos son los compromisos que asumimos por escrito y el estándar que deberías esperar de cualquier profesional que contrates.
- Solo lectura por defecto. Una auditoría es un diagnóstico. No cambiamos nada sin un alcance separado, escrito y acordado. Mirar no es lo mismo que tocar, y mantenemos ambas cosas estrictamente separadas.
- No nos llevamos tu base de datos. Nunca necesitamos, ni pedimos, una copia de los datos de tus clientes o pedidos. Si una comprobación concreta requiere acceso a la base de datos, será de solo lectura, y nunca extraemos datos personales.
- Nada se conserva tras la entrega. Una vez entregada la auditoría, el acceso desaparece y no conservamos nada, salvo que nos pidas explícitamente que guardemos una copia de seguridad para ti.
- Tu tienda no es nuestro marketing. Nunca usamos tu tienda como caso de éxito, pieza de portfolio o ejemplo, ni siquiera anonimizado, sin tu consentimiento por escrito. Si te parece bien aparecer, te lo agradecemos con un descuento, pero es tu elección, nunca la opción por defecto.
- NDA o DPA bajo petición. Si necesitas un acuerdo de confidencialidad o un acuerdo de tratamiento de datos firmado antes de empezar, pídelo. Lo firmaremos.
Aspectos específicos del RGPD para tiendas de la UE
Si gestionas una tienda en la UE, la relación no es solo una cuestión de confianza: está regulada. Cuando un auditor trata datos personales en tu nombre, tú eres el responsable del tratamiento y el auditor actúa como encargado del tratamiento. Esa distinción implica obligaciones para ambas partes.
Tus responsabilidades como responsable del tratamiento: conceder solo el acceso estrictamente necesario, mantener un registro de lo que compartiste y con quién, y establecer un acuerdo de tratamiento de datos (DPA) cuando haya datos personales implicados. Un encargado fiable actuará solo siguiendo tus instrucciones documentadas: únicamente para la auditoría, sin transferencia a terceros, sin reutilización para otros fines, sin uso como datos de entrenamiento y sin marketing. Estamos ubicados en la UE, en Tychy, Polonia, y cuando una auditoría afecta a datos personales actuamos estrictamente como encargados del tratamiento según tus instrucciones. Hay un DPA disponible bajo petición. Poder señalar dónde residen los datos y bajo qué jurisdicción están es, en sí mismo, parte de la respuesta.
Señales de alerta: cuándo abandonar
La confianza se gana con el comportamiento, y algunas solicitudes deberían cerrar la conversación de inmediato:
- Exigen acceso completo de administrador desde el principio para una auditoría que ni siquiera ha empezado. Un diagnóstico no requiere la capacidad de cambiarlo todo.
- No quieren firmar un NDA o un DPA. Un profesional que maneja tus datos no debería tener ningún problema en comprometerse por escrito a la confidencialidad.
- Te piden una exportación de clientes: un volcado de pedidos, correos electrónicos o datos personales. Ninguna auditoría legítima de SEO, rendimiento, tema o seguridad necesita tu lista de clientes.
- Quieren tu inicio de sesión personal en lugar de una cuenta dedicada, o ponen pegas cuando insistes en acceso de solo lectura y limitado en el tiempo.
Cualquiera de estas señales es motivo suficiente para elegir a otra persona.
Empieza solo con tu URL
La auditoría más segura es la que nunca te pide bajar la guardia. Hemos escrito nuestra posición completa sobre el acceso y el tratamiento de datos para que puedas leerla antes de comprometer nada: consulta nuestra política de preparación para auditorías de tienda, que explica en lenguaje claro exactamente qué hacemos y qué no hacemos con el acceso a tu tienda. Y como la mayor parte de nuestro trabajo se realiza de fuera hacia dentro, puedes iniciar una auditoría de seguridad o explorar toda la gama de servicios de preparación y auditoría con nada más que la URL de tu tienda: sin inicio de sesión, sin base de datos y sin actos de fe.
Preguntas frecuentes
¿Necesitaréis alguna vez mi contraseña de administrador?
No. Nunca hay una buena razón para compartir tu inicio de sesión personal de administrador con nadie: elimina el rastro de auditoría, expone todo lo que puedes hacer y no puede revocarse limpiamente. Si una comprobación necesita de verdad mirar dentro del back office, la respuesta correcta es una cuenta de empleado temporal, identificada por nombre y de solo lectura, que tú creas y desactivas cuando termina el trabajo. La mayoría de nuestras auditorías ni siquiera necesitan tanto: se ejecutan desde tu URL pública.
¿Cómo creo una cuenta de solo lectura que no pueda cambiar nada?
En PrestaShop, ve a Advanced Parameters > Team, crea un nuevo Perfil (por ejemplo, "Auditor") y en Permissions marca solo la columna View para las secciones que se vayan a revisar; deja Add, Edit y Delete sin marcar. Después añade un empleado asignado a ese perfil, con su propio correo electrónico y contraseña. Bloquea por completo las secciones de Clientes y Pedidos salvo que una comprobación concreta y acordada las necesite. Cuando se entregue la auditoría, desactiva o elimina ese empleado.
¿Qué pasa si un auditor necesita de verdad ver datos de clientes o pedidos?
Es poco frecuente y debería ser la excepción, con alcance definido y acordado por escrito antes de que ocurra; nunca la solicitud por defecto. Cuando está justificado, el acceso sigue siendo de solo lectura, limitado a la comprobación concreta, y no se extraen ni copian datos personales fuera de tu tienda. Para tiendas de la UE, aquí es exactamente donde corresponde un DPA: tú eres el responsable del tratamiento y el auditor es el encargado que actúa solo según tus instrucciones documentadas. Si alguien quiere una exportación masiva de tu lista de clientes "para ser exhaustivo", eso es una señal de alerta, no un requisito.
¿Puedo revocar el acceso a mitad del proceso si cambio de opinión?
Sí. Ese es precisamente el sentido de una cuenta dedicada y limitada en el tiempo. Como es un perfil de empleado separado y no tu propio inicio de sesión, puedes desactivarlo o eliminarlo en cualquier momento sin interrumpir tu acceso ni el de nadie más. Lo mismo se aplica al acceso delegado a Search Console o al panel de alojamiento: retiras la delegación mediante los controles de uso compartido de la propia plataforma cuando quieras. Conservar ese interruptor de apagado es exactamente la razón por la que nunca debes compartir tus credenciales personales.
Estáis fuera de mi país: ¿mis datos están seguros bajo el RGPD?
Estamos ubicados en la UE, en Tychy, Polonia, así que para tiendas de la UE los datos permanecen dentro de la UE y bajo jurisdicción europea. Cuando una auditoría afecta a datos personales, actuamos estrictamente como encargados del tratamiento según tus instrucciones documentadas: solo auditoría, sin transferencia a terceros, sin reutilización, sin datos de entrenamiento y sin marketing. Hay un DPA disponible bajo petición, y poder señalar dónde residen los datos y bajo qué ley están es parte de lo que hace que la relación sea responsable. Para la mayoría de auditorías, de todos modos, la cuestión ni siquiera se plantea, porque en primer lugar nunca nos llevamos tus datos.
Comentarios
Aún no hay comentarios. ¡Sé el primero!
Sé el primero en hacer una pregunta o compartir una opinión útil.
Dejar un comentario
Comparte una pregunta, un detalle de instalación o una opinión que pueda ayudar a otro lector.