Saltar al contenido principal
B2B SaaS··5 min de lectura

Contratos Enterprise SaaS: SLA + DPA + MSA

Cómo manejar contratos enterprise en SaaS B2B: SLA, DPA, MSA, security questionnaire. Guía 2026.

Contratos Enterprise SaaS: SLA + DPA + MSA

Cuando SaaS llega a enterprise customers, contratos cambian: SLA, DPA, MSA, security questionnaires.

Documentos típicos

MSA (Master Services Agreement)

Contrato base entre empresas. Define:

  • Términos generales
  • Limitation of liability
  • IP ownership
  • Term + termination
  • Confidentiality

Suele ser el doc principal. Cliente puede pedir su template o aceptar el tuyo.

SOW (Statement of Work)

Anexo al MSA describing scope específico. Para SaaS suscripción simple: no siempre necesario. Para implementaciones custom: sí.

SLA (Service Level Agreement)

Define:

  • Uptime garantizado (99.5%, 99.9%, 99.99%)
  • Response time para support tickets
  • Maintenance windows
  • Credits si no se cumple

SLA típico SaaS B2B: 99.9% uptime.

DPA (Data Processing Agreement)

Para clientes EU/UK (GDPR) o US health (HIPAA). Define:

  • Quién es controller / processor
  • Cómo se procesa data
  • Sub-processors usados
  • Breach notification
  • Data retention + deletion

Siempre standard template como starting point.

Security questionnaire

Cliente enterprise pide cuestionario de seguridad. normalmente:

  • 50-200 preguntas
  • Cubre: technical security, data handling, BCP/DR, compliance
  • SOC 2 / ISO certifications ayudan

Cuándo cada doc

Self-serve clients (USD <500/mes)

Click-through ToS + Privacy Policy. Sin negociación. Standard.

SMB clients (USD 500-5.000/mes)

ToS + DPA estándar. Algunos firman MSA simple. Sin red-line significante.

Enterprise (USD 5.000+/mes)

MSA + SLA + DPA + security questionnaire + sometimes SOW. Negociación profunda. Legal counsel necesario.

Cómo prepararse para enterprise

1. Templates standard

Tener templates own:

  • MSA
  • DPA
  • SLA
  • Security policies

Clientes usually accept yours si reasonables. Sino redline ligero.

2. Trust center

Página pública con:

  • Compliance badges (SOC 2, ISO)
  • Security policies
  • Sub-processors list
  • Status page (uptime histórico)

Reduce questions del prospect significantly.

3. SOC 2 Type II

12-18 meses para preparar primero ciclo. USD 30-100k típico costo. Habilita enterprise deals.

4. Counsel especializado

Para deals enterprise: counsel con experiencia SaaS. USD 200-500/h pero crucial para no firmar termsbad.

Si tu SaaS necesita capacidades técnicas de uptime + audit log + RBAC para enterprise, ver el servicio de sistemas a medida.

Negociación

Términos comunes negociados

  • Liability cap (estándar 12 meses fees, enterprise puede pedir más)
  • IP ownership (siempre tuyo)
  • Term + auto-renewal
  • Termination for convenience (vs for cause)
  • Service credits (no refunds para SLA misses)

Términos no-negociables

  • Foundational IP
  • Data ownership básica
  • Right to audit (within reason)

Caso de referencia

SaaS B2B argentino, primer cliente enterprise USD 50k/año:

Pre-deal:

  • 4 semanas de negociación
  • Security questionnaire 150 preguntas (40h respuesta)
  • Red-line del MSA (2 rondas)
  • DPA standard aceptado
  • Counsel cost: USD 4.000

Resultado: deal cerrado, cliente happy, learnings para futuros deals.

Próximos enterprise deals: 1-2 semanas + USD 1.500 counsel cost (templates ya refinados).

SLA tiers típicos

Uptime Downtime/mes Compromiso
99.0% 7.2h Plan starter
99.5% 3.6h Plan business
99.9% 43min Plan enterprise standard
99.95% 22min Plan enterprise plus
99.99% 4.3min Mission-critical (raro)

Trade-off: cada "9" extra duplica costo de infra + ops. Empezar con 99.5% y subir cuando deal lo justifica.

DPA: sub-processors típicos

Cliente enterprise quiere lista clara. Para SaaS típico AR:

Sub-processor Función Ubicación data
AWS / Vercel Hosting EU / US
Stripe Payments US
SendGrid / Resend Email US
Datadog / Sentry Monitoring US
Intercom / Front Customer support US
Posthog Product analytics US o self-hosted

Cada uno requiere DPA propio firmado entre vos y ellos. Lista pública en trust center.

Security questionnaire: preguntas frecuentes

Top categorías recurrentes:

  1. Authentication: ¿MFA? ¿SSO SAML? ¿Password policy? ¿Session management?
  2. Encryption: ¿At rest? ¿In transit? ¿Key management?
  3. Access control: ¿RBAC? ¿Audit log? ¿Permission review periódico?
  4. Backup + DR: ¿Frecuencia? ¿RTO/RPO? ¿Tests de DR?
  5. Vulnerability mgmt: ¿Pentests? ¿Bug bounty? ¿Patching SLA?
  6. Data: ¿Geo location? ¿Retention? ¿Deletion process?
  7. Vendor mgmt: ¿Sub-processors? ¿Due diligence?
  8. Compliance: ¿SOC 2? ¿ISO 27001? ¿GDPR? ¿HIPAA?
  9. Incident response: ¿Plan? ¿Notification timeline?
  10. Personnel: ¿Background checks? ¿Training?

Patrón eficiente: preparar respuestas reusables en doc maestro, copiar/pegar para cada cliente.

Trust center: contenido mínimo

Página pública en /trust o /security:

  • Resumen de seguridad: 1 paragraph high-level
  • Compliance badges: SOC 2, ISO, GDPR
  • Sub-processors: lista actualizada
  • Status page: uptime histórico (StatusPage.io o custom)
  • Security policies: encryption, access control, BCP
  • Reporting de vulnerabilities: contacto + responsible disclosure
  • DPA template: descarga directa
  • Latest pentest summary: resumen sin detalles sensibles

Reducir questionnaire en 50-70% si trust center cubre lo común.

Pitfalls comunes

1. Aceptar liability ilimitada

NUNCA. Cap = 12 meses de fees mínimo. Excepción: damages from gross negligence o IP infringement (cap puede ser higher).

2. SLA sin definición clara de "downtime"

Definir: ¿incluye maintenance windows? ¿degradación de performance cuenta? ¿1 endpoint vs full system?

3. DPA sin sub-processor consent

Si agregás nuevo sub-processor, cliente puede objetar. Cláusula de notification 30-60 días + opt-out.

4. Auto-renewal abusivo

Cláusula favorable para vos: auto-renewal anual con notice 60 días. Cliente justa quiere notice 30 días + opt-out anticipado.

5. Termination for convenience

Cliente quiere poder cancelar anytime con 30 días notice. Negociar: full term + opt-out solo with cause, o fee de cancelación early.

Costos enterprise readiness

Inversión típica para "enterprise ready":

Item Costo Tiempo
Templates contracts (counsel) USD 5-15k 4-8 semanas
SOC 2 Type II USD 30-100k 12-18 meses
Trust center + status page USD 1-3k 2-4 semanas
Security questionnaire master doc USD 0 (in-house) 40-80 horas
Pentest anual USD 8-20k 2-4 semanas
Counsel ongoing USD 1-3k/deal Variable

Total: USD 50-150k investment + 12-18 meses para estar "enterprise ready". Paga en deals cerrados que sin esto no closean.

En síntesis

Contratos enterprise son barrera de entry. Inversión inicial alta (templates, SOC 2, counsel) pero amortiza con cada deal cerrado. Sin esto: enterprise deals no closeable.

Estrategia recomendada: empezar con SMB → primer enterprise deal con templates simples + counsel ad-hoc → invertir en SOC 2 + trust center cuando haya 3+ enterprise deals en pipeline.

Cotizá tu proyecto. Más sobre el tema: desarrollar SaaS B2B desde Argentina, SOC 2 / ISO 27001, escalar SaaS de AR a US/LATAM.

Preguntas frecuentes

¿Querés ver más? Volver al blog.

¿Listo para reemplazar Excel por un sistema a medida?

Cotizamos tu proyecto en menos de 24hs hábiles. Software a medida, digitalización de procesos e implementación de IA para empresas argentinas.

CONTACTAR AHORA

Respuesta en menos de 24hs hábiles.