Bogotá, junio de 2025 – La Dirección de Impuestos y Aduanas Nacionales (DIAN) ha
establecido que todos los proveedores tecnológicos de facturación electrónica en
Colombia deberán estar certificados bajo la norma internacional ISO/IEC 27001:2022
antes de octubre de este año. Esta medida marca un avance clave en la consolidación de
un sistema tributario más seguro, transparente y alineado con las mejores prácticas
globales.
La norma ISO/IEC 27001:2022 define el conjunto de requisitos para implementar un
Sistema de Gestión de Seguridad de la Información (SGSI), permitiendo a las
organizaciones identificar, gestionar y mitigar riesgos que puedan comprometer la
confidencialidad, integridad y disponibilidad de la información.
¿Qué busca la DIAN con esta certificación?
La exigencia de esta certificación refuerza el compromiso de la DIAN con la protección de
los datos fiscales y la transformación digital del país. Al contar con proveedores
certificados, se asegura que el ecosistema de facturación electrónica opera bajo
estándares rigurosos, auditables y enfocados en la mejora continua. La DIAN promueve
con esta medida una cultura de seguridad y prevención que beneficia a todo el sistema
empresarial y tributario.
“Este requisito no debe verse como una carga, sino como una oportunidad para elevar los
estándares del sector. Cuando hablamos de seguridad de la información, hablamos de
proteger a las empresas, a sus clientes y al Estado. Es una evolución necesaria, y en
Sovos Saphety estamos comprometidos con liderarla”, afirmó Karoll Cuadros, gerente
de Comercio Electrónico y experta en facturación electrónica de Sovos Saphety.
¿Qué implica obtener la certificación ISO/IEC 27001:2022?
De acuerdo con Cuadros, el proceso de certificación, que debe estar completo antes de
octubre de 2025, implica una serie de pasos técnicos y estratégicos que garantizan que la
organización cumple con los controles exigidos por la norma:
1. Diagnóstico inicial: evaluación de los sistemas actuales y sus brechas frente a los
requisitos de la ISO 27001:2022.
2. Diseño del SGSI: definición de políticas, roles, procesos y controles internos para
gestionar los riesgos de seguridad.
3. Implementación: puesta en marcha de controles como gestión de accesos, cifrado de
datos, planes de contingencia, formación interna y protocolos de respuesta ante
incidentes.
4. Auditoría interna: revisión del sistema implementado para verificar su eficacia y
corregir desviaciones.
5. Auditoría de certificación: una entidad acreditada realiza la evaluación formal y, si se
cumplen los requisitos, otorga el certificado.
6. Mantenimiento y mejora continua: monitoreo y actualizaciones constantes del SGSI,
como exige la DIAN, que incluye recertificación cada cinco años (Resolución 000042 de
2020).
“El camino a la certificación requiere disciplina técnica, inversión y liderazgo interno, pero
sus beneficios son sustanciales: fortalece la reputación del proveedor, mejora sus
procesos, mitiga riesgos legales y garantiza continuidad operativa frente a incidentes
digitales. En nuestro caso, ya estamos adelantados en la adecuación completa a la
versión 2022”, añadió Cuadros.
¿Cuáles son los beneficios para los proveedores certificados según Sovos
Saphety?
Para la experta de facturación electrónica, además de cumplir con el nuevo requisito de la
DIAN, las organizaciones que obtienen esta certificación acceden a una serie de ventajas:
Confianza del mercado: clientes y socios saben que su información está
protegida bajo estándares internacionales.
Prevención de ciberataques: gracias a la implementación de políticas, prácticas
y principios de seguridad de la información, se reduce la probabilidad de accesos
no autorizados, fugas de datos y errores humanos.
Ventaja competitiva: se convierte en un factor diferenciador frente a otros
proveedores.
Cumplimiento legal: evita sanciones y mantiene la vigencia en el listado oficial de
proveedores tecnológicos de la DIAN.
Cultura organizacional sólida: promueve una cultura interna orientada a la
seguridad, responsabilidad y transparencia.
Un paso adelante hacia un ecosistema más robusto
Colombia avanza en la digitalización de sus procesos tributarios, y esta exigencia de la
DIAN es coherente con los esfuerzos globales por blindar los sistemas que manejan
información crítica. La implementación de estándares internacionales como la ISO/IEC
27001:2022 garantiza que tanto el sector público como el privado operen bajo las mismas
reglas de confianza y seguridad.
“Creemos que esta medida impulsa al sector a profesionalizarse aún más. No se trata
solo de cumplir, sino de construir un entorno digital más sólido para todos. En Sovos
Saphety, priorizamos la seguridad de la información. Certificados desde 2016 según la
norma internacional ISO/IEC 27001:2013, ya hemos actualizado a la norma ISO/IEC
27001:2022, cumpliendo con el requisito de la DIAN. Esto nos permite liderar con el
ejemplo y ayudar a las medianas y grandes empresas en su adaptación. La DIAN
enfatiza: La seguridad no es opcional”, concluye Cuadros.
Acerca de Saphety
Fundada en el año 2000 y adquirida por Sovos en 2021, Saphety es líder en soluciones de intercambio
electrónico de documentos, facturación electrónica y sincronización de datos. Sus soluciones llegan
actualmente a 52 países y su cartera de clientes incluye más de 10.000 empresas, entre las que se
encuentran algunas de las más grandes de telecomunicaciones, retail, transporte, logística, energía, banca,
servicios, salud y sector público. Para mayor información visite www.saphety.co y síganos en LinkedIn,
Instagram, Facebook y Twitter.
Acerca de Sovos
Sovos ofrece soluciones modernas y tecnológicas para el cumplimiento normativo, con más de 100,000
clientes en más de 70 países. Sus soluciones basadas en la nube son seguras, confiables y brindan una
excelente experiencia de usuario.
Para más información, visite sovos.com/co y síganos en LinkedIn, Instagram y Youtube.
