Su equipo de compras aprueba a un nuevo proveedor de ITAD, cuya oferta incluye tres logotipos de conformidad: Certificación R2v3, certificación NAID AAA y conformidad NIST 800-88.
Todos reconocen los nombres y asienten. El presentador dice “siguiente diapositiva”.”
Meses después, preguntas qué ha pasado con los datos de tu lote de viejos Micron 7450 MAX. Nadie lo sabe. El proveedor tiene una idea aproximada, pero no puede darle la respuesta concreta que necesita.
La conformidad no es un estado binario. Tienes que ir más allá de los logotipos para asegurarte de que las normas de conformidad y seguridad satisfacen tus necesidades.
Tres normas para resolver tres problemas diferentes
Empecemos por el inglés sencillo:
| Estándar | Qué es | Ayuda a determinar ... | Lo que no garantiza |
| NIST SP 800-88 | Guía del NIST para la desinfección de soportes | Qué método de higienización se adapta a un tipo de soporte y a una necesidad de confidencialidad | Si un proveedor está certificado, auditado u operativamente disciplinado |
| NAID AAA | Certificación por terceros para proveedores de servicios de destrucción segura | Si un proveedor de destrucción está siendo auditado con respecto a las expectativas de seguridad y diligencia debida reglamentaria. | Si el proveedor puede llevar a cabo un programa más amplio de ITAD, reutilización, reparación o gestión descendente. |
| R2v3 | Norma de certificación para instalaciones de reutilización, reciclado e ITAD de productos electrónicos | Si una instalación opera dentro de un marco auditado más amplio para la seguridad de los datos, los controles de la cadena descendente, la reutilización y los procesos especializados. | Si todas las instalaciones con certificación R2 realizan todas las especialidades que usted supone que realizan |
NIST SP 800-88 es una guía, no un distintivo de proveedor
NIST SP 800-88 es la guía federal para la higienización de soportes. En septiembre de 2025, el NIST publicó el SP 800-88 Revisión 2 y declaró explícitamente que sustituye a la Revisión 1. El NIST describe la publicación como una guía para ayudar a las organizaciones a crear un programa de desinfección de soportes con técnicas y controles adecuados en función de la sensibilidad de la información.
| El NIST responde a preguntas como: | No responde a preguntas como: |
| ¿Qué debe conseguir la higienización? ¿Cómo debe relacionarse la selección del método con el tipo de medio y el riesgo? ¿Qué debe incluir un programa de higienización de medios? | ¿Este proveedor se somete a auditorías independientes? ¿Controla esta instalación su cadena descendente? ¿Este operador tiene en práctica buenos controles de la cadena de custodia? |
Si un proveedor dice “cumplimos la norma NIST 800-88” y lo deja ahí, usted sigue sin saber quién lo auditó. No se sabe cómo documentaron el trabajo, ni si los controles sobreviven más allá de la etapa de saneamiento.
NAID AAA trata de la verificación segura del proveedor de destrucción
i-SIGMA describe NAID AAA como una verificación de terceros que permite a los clientes cumplir sus obligaciones de diligencia debida en relación con los proveedores de destrucción segura de datos. Su propio material de cara al cliente dice que la certificación verifica las cualificaciones a través de un programa de auditorías programadas y no anunciadas, y enmarca el programa como una forma de validar el cumplimiento de la normativa y las mejores prácticas de seguridad para operaciones de destrucción.
Esto hace que NAID AAA sea útil cuando se necesitan respuestas a preguntas como:
| ¿Se está auditando realmente a este proveedor de destrucción? | ¿Mantienen controles de seguridad durante la manipulación, el transporte, el almacenamiento y la destrucción? | ¿Existe una supervisión significativa más allá de una promesa de venta y un certificado brillante? |
Sigue siendo una respuesta de servicios de destrucción, no una respuesta de arquitectura ITAD completa.
Si su proyecto incluye la reutilización, la reventa, la prueba y reparación, el traspaso posterior o la higienización lógica antes de la recomercialización, NAID AAA no responde automáticamente a esas preguntas sólo porque sea fuerte en la validación de operaciones de destrucción segura.
R2v3 es más amplio y su alcance depende de los apéndices
R2v3 es una norma de certificación para operaciones de reutilización y reciclaje de productos electrónicos. Ese alcance más amplio es exactamente la razón por la que los compradores la utilizan mal. Oyen “certificación R2” y suponen que significa que todos los escenarios de desinfección, reutilización y tratamiento posterior de datos están cubiertos de la misma manera.
La propia guía del SERI afirma que R2v3 incluye apéndices de procesos especializados porque no todas las instalaciones certificadas realizan las mismas operaciones.
Hay 7 apéndices, pero tres de ellos son los más importantes para este debate:
| Apéndice A: Abarca la cualificación y gestión de la cadena de reciclado posterior. | Apéndice B: Abarca la limpieza lógica de datos y la limpieza física mejorada con controles adicionales de seguimiento, verificación y calidad. | Apéndice C: Cubre la prueba y reparación para su reutilización. |
El apéndice B se aplica a las instalaciones que realizan el saneamiento de datos lógicos, como las operaciones ITAD, y a las instalaciones que buscan un nivel mejorado de saneamiento físico. No es necesario para los métodos de destrucción física gestionados conforme a los requisitos básicos de R2 y en consonancia con las directrices de higienización de soportes del NIST a las que allí se hace referencia.
También hay una arruga de revisión que los compradores no deben ignorar. El NIST publicó la revisión 2 de SP 800-88 en septiembre de 2025, pero los materiales R2v3 publicados por SERI siguen haciendo referencia a la revisión 1 en la ruta de requisitos básicos para los métodos de destrucción física. Hay cambios sustanciales en elementos como el borrado criptográfico y las herramientas de saneamiento, pero la esencia de las directrices sigue siendo la misma.
Esto no significa que R2 sea inutilizable. Lo que sí significa es que deberías preguntar al proveedor qué revisión del NIST y qué conjunto de procedimientos utiliza hoy en día en lugar de dar por sentado que se dirige a cualquier versión que necesites.
Eso significa que “certificado R2” no es toda la frase. Necesitará una aclaración:
- ¿Qué anexos entran en el ámbito de aplicación?
- ¿Está cubierto el Apéndice A para la cadena descendente?
- ¿Está el Apéndice B en el certificado?
- ¿Se aplica el apéndice C si el vendedor vuelve a poner el hardware en producción?
Si no tienes esas respuestas, entonces no tienes la certeza que necesitas.
Dónde pueden equivocarse los compradores
La confusión del mercado suele manifestarse en tres errores previsibles.
Error 1: Tratar al NIST como una certificación
El NIST es la capa de orientación sobre métodos y programas. Indica lo que debe conseguir un buen programa de desinfección. No es una credencial de funcionamiento de terceros.
“Seguimos al NIST” se convierte en un sustituto del vendedor para dar explicaciones:
- Qué revisión están utilizando
- Qué métodos específicos de los medios de comunicación aplican
- Cómo verifican el resultado
- Qué registros llevan
- ¿Quién comprueba si algo de eso es cierto?
| ✓ Deberías escuchar “NIST” y pensar: | ✗ No deberías oír “NIST” y pensar: |
| Bien, ahora muéstrame el programa, los registros y la pista de auditoría. | Problema resuelto. |
Error 2: Suponer que todas las instalaciones R2 tienen la misma profundidad de desinfección de datos
SERI afirma que el Apéndice B es donde R2v3 define el saneamiento lógico de datos y el saneamiento físico mejorado. También afirma que el Apéndice B se recomienda para ITAD, devoluciones y cambios. Incluso exige a los vendedores que creen un registro del software de borrado como prueba de la limpieza. SERI también dice que el Apéndice B ya no se basa directamente en normas externas de seguridad de datos como NAID o NIST 800-88 porque la norma R2 ahora controla internamente esos requisitos.
Si una instalación sólo lleva a cabo la destrucción física con arreglo a los requisitos básicos de R2, es posible que el apéndice B no sea necesario. Si la instalación realiza una higienización lógica, el Apéndice B es obligatorio. La guía de aplicabilidad de SERI lo dice directamente.
Así que cuando un proveedor te diga que tiene la certificación R2, no digas: “genial, ¿estamos cubiertos?”. La siguiente pregunta es “enséñame el alcance del certificado y los apéndices”. Así obtendrás los detalles que necesitas.
En el resumen de cambios R2v3 publicado por SERI, el apéndice B exige registros de trazabilidad para identificadores únicos de dispositivos a través del proceso de higienización. También añade una verificación más estricta, requisitos de competencia y controles más sólidos. En el mismo resumen, el SERI señala los requisitos de videovigilancia con 60 días de grabaciones conservadas para las zonas donde se reciben, almacenan o pasan los dispositivos de datos.
Es una respuesta muy diferente a un genérico “tenemos certificación R2”.”
Error 3: Utilizar NAID AAA para responder a preguntas para las que no fue creado
NAID AAA es fuerte dentro de sus parámetros. i-SIGMA dice que existe para verificar a los proveedores de destrucción mediante auditorías programadas y sin previo aviso.
Pero eso no significa que sea la herramienta adecuada para todas las cuestiones de contratación.
Un certificado de destrucción no se lo dice automáticamente:
- Cómo se clasifican los productos reutilizables
- Si los activos circulan por una vía de reutilización controlada
- Cómo se califica a los proveedores posteriores para el tratamiento de no destrucción
- Si se validan las operaciones de prueba y reparación
- Si la higienización lógica para la reventa forma parte de un programa de reutilización más amplio
Si su proyecto se limita a la destrucción, NAID AAA puede responder a muchas de sus necesidades. Si su proyecto es un ITAD de modo mixto con reventa, reutilización, desmontaje, informes de auditoría y participación de socios posteriores, necesita algo más que una credencial de destrucción.
La forma correcta de utilizar conjuntamente estas normas
“¿Qué norma es mejor?” es la pregunta equivocada. Funcionan en tándem, no la una contra la otra. La forma correcta de interrogar a la norma es preguntándose: “¿a qué pregunta intento responder?”.”
| Si su pregunta es sobre el método de higienización | Si su pregunta se refiere a la supervisión del proveedor de destrucción segura | Si su pregunta se refiere a una gobernanza más amplia de ITAD y al control de las vías de reutilización |
| Comience con NIST SP 800-88. Ahí es donde se asienta la lógica del programa:Qué se supone que debe conseguir la desinfecciónCómo se relaciona la selección del método con el tipo de medio y la sensibilidadQué controles pertenecen al programa de desinfección. Si un proveedor no puede explicar su programa de desinfección en términos NIST, el resto de la conversación se tambalea rápidamente. | Empiece con NAID AAA. Ahí es donde se obtiene: Validación por tercerosAuditorías programadas y sin previo avisoApoyo a la diligencia debida para la selección del proveedor de destrucciónControl de las operaciones de custodia, transporte, almacenamiento y destrucción Si el proyecto se centra principalmente en la destrucción, se trata de una pantalla significativa. | Empieza con R2v3, y luego concreta sobre los apéndices. Ahí es donde se pregunta: ¿Se aplica el Apéndice A al control de la cadena de suministro? ¿Se aplica el Apéndice B al saneamiento lógico o al saneamiento físico mejorado? ¿Se aplica el Apéndice C si la reutilización y la reparación forman parte del programa? Si el proveedor está revendiendo, probando, desinfectando para su reutilización o dirigiendo equipos a través de una cadena de varios pasos, la conversación sobre el apéndice no es opcional. Es la conversación. |
Qué preguntar antes de firmar
Antes de dar el visto bueno a un proveedor de ITAD o de destrucción, hágase estas cinco preguntas por orden:
- Revisión del NIST: ¿Cuáles de sus controles proceden de NIST SP 800-88 y qué revisión está utilizando actualmente?
- Ámbito NAID AAA: ¿Su operación de destrucción cuenta con la certificación NAID AAA y qué cubre exactamente dicha certificación?
- R2v3 Apéndices: ¿Su instalación cuenta con la certificación R2v3 y qué apéndices figuran en el certificado?
- Apéndice B Confirmación: Si realiza el saneamiento de datos lógicos para su reutilización o reventa, ¿está certificado conforme al Apéndice B?
- Cadena descendente: Si los equipos salen de sus instalaciones para someterse a procesos adicionales, ¿cómo se califica y rastrea la cadena descendente?
Esas preguntas hacen dos cosas a la vez. Obligan al vendedor a orientación, certificación y ámbito de aplicación independientes. También hacen que sea mucho más difícil para alguien enterrar un modelo operativo delgado bajo un montón de nombres de certificación de logotipos.
El error del comprador que crea el mayor punto ciego
El error es suponer que una sola norma colapsa todo el problema.
No es así.
| NIST 800-88Informa sobre cómo debe plantearse la desinfección. | NAID AALe indica si un proveedor de destrucción ha sido sometido a un control independiente de las expectativas de seguridad y diligencia debida. | R2v3Le indica si una instalación se encuentra dentro de un marco certificado más amplio para la reutilización, el reciclado, la seguridad de los datos y los controles de procesos especializados, pero sólo en la medida en que el alcance y los apéndices del certificado cubran realmente las operaciones que le interesan. |
Si un proveedor dice que es R2v3, NAID AAA y NIST 800-88 alineado. De acuerdo. Esa ya no es la línea de meta.
Ahora ya sabes cuál es el siguiente paso. Pregúntales:
| ¿Cuál gobierna la toallita? | ¿Cuál rige la trituración? |
| ¿Cuál rige el traspaso descendente? | Explicar el alcance del certificado. Amplíe el registro de muestra. |
El vendedor que puede responder limpiamente a esas preguntas entiende la diferencia.
Spanish 
English 
German 
French 
Swedish 
Dutch