Preguntas frecuentes

El FR Rating es una puntuación independiente que resume la postura regulatoria de ciberseguridad de una organización. Se estructura en 8 niveles, desde FR-Aaa (el más alto) hasta FR-Ca (el más bajo), y agrega la madurez de cumplimiento a través de 3 marcos europeos: ISO 27001, NIS2 y DORA.

Finnovia Solutions, una agencia europea independiente. La plataforma produce dos resultados: una FR Rating autoevaluada calculada automáticamente a partir de sus respuestas, y una FR Rating verificada, revisada control por control por los analistas de Finnovia antes de su publicación. Solo la calificación verificada — disponible en los planes de pago — sigue el enfoque de agencias de calificación financiera como Moody's o S&P, aplicado a la ciberseguridad.

Cada control se evalúa en una escala de madurez de 0 (ninguna) a 4 (optimizado), se normaliza a 0–100 % y se agrega por dominio aplicando los pesos correspondientes. La puntuación global se asigna a uno de los 8 niveles mediante umbrales fijos (FR-A a partir del 70 %, FR-Aaa a partir del 90 %). La metodología completa está publicada en la página de metodología.

Las calificaciones se agrupan en tres bandas de riesgo. Riesgo bajo: FR-Aaa, FR-Aa, FR-A (puntuaciones ≥ 70 %). Riesgo medio: FR-Baa, FR-Ba (puntuaciones 50–69 %). Riesgo alto: FR-B, FR-Caa, FR-Ca (puntuaciones inferiores al 50 %). Cada nivel refleja brechas identificadas y prioridades de mejora.

Tres marcos: ISO 27001 (norma internacional de gestión de la ciberseguridad), NIS2 (Directiva europea de seguridad de redes y sistemas de información, aplicable desde 2024) y DORA (Reglamento de Resiliencia Operativa Digital, obligatorio para las entidades financieras de la UE desde 2025).

Live numbers from the assessment engine — DORA: 38 questions across 7 domains; ISO 27001: 56 questions across 10 domains; NIS2: 37 questions across 7 domains.

ISO 27001 is voluntary but globally recognised. NIS2 is mandatory for most large EU entities classified as essential or important. DORA is mandatory for EU financial entities and their critical ICT providers. Most organisations need at least two; Finnovia supports activation per framework.

Un cuestionario ISO 27001 lleva entre 35 y 40 minutos a una persona familiarizada con los controles. NIS2 y DORA requieren unos 25 minutos cada uno. Puede guardar su progreso y retomarlo en cualquier momento.

Una calificación autoevaluada es válida durante 12 meses desde su envío. Una calificación verificada, tras la revisión del analista de Finnovia, es válida durante 24 meses desde la firma. Ambas caducan automáticamente — las evaluaciones recurrentes mantienen la calificación al día.

Una calificación autoevaluada refleja las respuestas que usted ha enviado. Una calificación verificada ha sido auditada control por control por un analista de Finnovia que confirma que la puntuación es defendible. Sólo las calificaciones verificadas figuran públicamente y se reconocen como oficiales.

Las calificaciones autoevaluadas son privadas y permanecen dentro de su organización. Las calificaciones verificadas se publican en la página de calificaciones y son visibles para cualquier persona — esa es la razón de ser de una agencia independiente. Usted mantiene el control sobre qué marcos decide publicar.

Sí. Puede solicitar la retirada en cualquier momento. La calificación deja de mostrarse en la página de calificaciones activas; permanece en nuestro archivo por transparencia, marcada claramente como «retirada».

Los clientes de pago pueden invitar a sus proveedores a completar una evaluación. El proveedor recibe un enlace privado, completa el cuestionario y Finnovia calcula su FR Rating. Usted dispone de un panel con todos sus proveedores y sus calificaciones — una visión transparente y de tercero del riesgo cibernético de su cadena de suministro.

Se envían tres recordatorios automáticos con 7 días de diferencia. Pasado ese plazo, el proveedor aparece como «no responde» en su panel, sin más contactos. Su lista de proveedores muestra de un vistazo quién está evaluado, en curso, invitado o sin respuesta.

No. Un proveedor que completa una evaluación para usted sólo ve su propio cuestionario. Nunca ve quién más le ha invitado ni datos agregados entre clientes. Una vez verificada, la calificación es portable — varios clientes del mismo proveedor comparten la misma calificación publicada.

La monitorización de proveedores está incluida en Founding Member y Enterprise. El plan gratuito Discovery cubre únicamente la autoevaluación. Founding Member está limitado a 25 proveedores; Enterprise no tiene límite.

Sí — el plan Discovery es gratuito y permite completar autoevaluaciones de ISO 27001 y NIS2. Se muestran las puntuaciones parciales por dominio. La calificación verificada, la monitorización de proveedores y el desglose completo de resultados requieren una actualización de plan.

Founding Member desbloquea: FR Ratings verificados por un analista en los tres marcos, monitorización de proveedores, panel completo y prioridad en la hoja de ruta de soporte. El precio queda bloqueado durante 24 meses. Limitado a 50 organizaciones en Europa.

Enterprise está dirigido a organizaciones con ecosistemas de proveedores más amplios, integraciones a medida, un CSM dedicado y SLAs contractuales. Precio bajo presupuesto. Contacte con nuestro equipo para más información.

Sí, en cualquier momento. Puede pasar de Discovery a Founding Member mientras queden plazas disponibles, o de Founding Member a Enterprise. Los downgrades se aplican en la siguiente renovación.

Finnovia opera íntegramente en Europa. La aplicación está alojada en las regiones europeas de Vercel; la base de datos PostgreSQL reside en Supabase, también en la UE. Ningún dato de cliente sale de la jurisdicción europea.

Sí. Finnovia Solutions es una empresa francesa. Tratamos los datos personales sobre una base contractual (su suscripción). Nuestra postura RGPD completa, el registro de actividades de tratamiento y la lista de subencargados están documentados en la política de privacidad.

Sólo usted y sus compañeros autorizados, por defecto. Para las calificaciones verificadas, un analista autorizado de Finnovia revisa las respuestas control por control. Nunca compartimos el contenido del cuestionario con terceros. Pueden utilizarse estadísticas agregadas y totalmente anonimizadas para benchmarks sectoriales — nunca por organización sin consentimiento.

Sí. Finnovia Solutions es una empresa privada, no tiene actividad de consultoría, no vende productos de ciberseguridad y no acepta remuneración alguna de las organizaciones calificadas más allá de la suscripción estándar. Nuestro modelo económico es la suscripción de calificación — ni asesoramiento, ni pen tests, ni implementación. Esa independencia estructural es precisamente la clave.