1
El problema del acceso no controlado en banca
2
Permission Sets: control de acceso por rol y función
3
Field-Level Security: protege los campos financieros sensibles
4
Teams y User Roles: visibilidad por país y línea de negocio
El problema del acceso no controlado en banca
En la mayoría de los grupos bancarios que crecen rápido, el CRM termina con demasiados Super Admins, usuarios con acceso a registros que no les corresponden y campos financieros sensibles visibles para cualquier persona con acceso al portal. No es un problema de mala intención: es un problema de configuración que nadie revisó a medida que el equipo creció.
El resultado es predecible: un gestor comercial de la entidad en México puede ver los montos de deal de la cartera de banca privada en Colombia. Un analista de marketing tiene acceso de edición sobre registros de clientes corporativos. Un usuario que dejó la empresa hace tres meses sigue activo en el portal con acceso completo. Para un CIO o Director de Operaciones de un grupo financiero en LATAM, cada uno de esos escenarios es un riesgo de privacidad de datos con consecuencias reales.
HubSpot CRM Enterprise resuelve este problema con una arquitectura de permisos en tres capas: control de acceso por rol a nivel de portal, restricción a nivel de campo para propiedades sensibles, y segmentación de visibilidad por equipo y mercado.
Permission Sets: control de acceso por rol y función
Define una vez el conjunto de accesos para cada función dentro del grupo y asígnalo a todos los usuarios de ese perfil. Cualquier cambio se propaga automáticamente sin tocar cada cuenta individualmente.
¿Cómo funciona en un grupo bancario?
En lugar de configurar los permisos de cada usuario por separado, los Permission Sets (ahora llamados Roles en HubSpot) permiten crear plantillas de acceso reutilizables. El administrador define el conjunto de permisos para cada función del grupo: qué objetos puede ver, qué registros puede editar, qué herramientas puede usar y qué datos puede exportar. Cuando se incorpora un nuevo usuario con esa función, recibe automáticamente el conjunto correcto de accesos con una sola asignación.
Para un grupo bancario con cientos de usuarios distribuidos en varios países, esto elimina el riesgo de configuración manual inconsistente. Todos los gestores comerciales de la entidad en Colombia tienen exactamente los mismos permisos porque todos comparten el mismo Role, no porque alguien haya revisado cada cuenta por separado.
Permisos por objeto del CRM
Configura qué puede hacer cada rol con contactos, empresas, deals, tickets y objetos personalizados: ver, editar, crear, eliminar o ninguna acción. Cada objeto se configura de forma independiente dentro del mismo Permission Set.
Control de exportación de datos
El permiso de exportación es configurable por rol. Para roles operativos se desactiva la exportación directa y se requiere aprobación de un Super Admin, añadiendo una capa de control sobre quién puede sacar datos del CRM.
Propagación automática de cambios
Cuando el grupo actualiza los permisos de un Role, el cambio aplica automáticamente a todos los usuarios asignados a ese Role. No es necesario modificar cada cuenta individualmente, lo que elimina el riesgo de configuraciones desincronizadas entre usuarios del mismo perfil.
Roles típicos en un grupo bancario y su configuración de acceso recomendada
Rol
Visibilidad de registros
Restricciones clave
Gestor comercial
Owned Only
Sin acceso a campos financieros sensibles. Sin permiso de exportación directa.
Manager de equipo de país
Team Only
Acceso a campos de rendimiento de equipo. Sin acceso a datos de otras entidades.
Equipo de cumplimiento
Team Only
Acceso completo a campos de debida diligencia y clasificación de riesgo. Sin acceso a pipeline comercial.
Director de grupo
All Records
Visibilidad total de pipeline y cartera. Sin permisos de edición masiva ni eliminación de registros.
Super Admin
All Records
Acceso completo. Debe restringirse a IT y operaciones. Máximo 2-3 por portal.
Field-Level Security: protege los campos financieros sensibles
Restringe quién puede ver o editar propiedades específicas dentro de un registro, independientemente de si el usuario tiene acceso al registro en sí.
¿Por qué no basta con controlar el acceso al registro?
El acceso a un registro de cliente en el CRM es binario si no existe field-level security: el usuario lo ve completo o no lo ve. En un grupo bancario, eso crea un problema inmediato: el ejecutivo comercial necesita ver el contacto y el deal para hacer su trabajo, pero no debería ver el límite de crédito aprobado, la clasificación de riesgo interna ni el estado del proceso de debida diligencia. Esos campos son para el equipo de cumplimiento o para la dirección, no para el equipo comercial.
Field-Level Security de HubSpot CRM Enterprise resuelve exactamente ese escenario. El administrador define, propiedad por propiedad, qué roles o equipos pueden ver y editar ese campo. El ejecutivo comercial abre el registro del cliente y ve el nombre, la empresa, el historial de comunicaciones y el estado del deal. Los campos financieros sensibles simplemente no aparecen en su vista.
1
Propiedades de deal: montos y condiciones comerciales
El monto del deal, la tasa negociada, el descuento aplicado o las condiciones especiales de contrato pueden restringirse a managers y dirección. Los gestores comerciales ven el deal y su etapa pero no los términos financieros finales hasta que el manager los desbloquea para la negociación.
2
Propiedades de contacto: datos de debida diligencia
Campos como clasificación de riesgo del cliente, estado del proceso de validación, nivel de exposición o notas del equipo de cumplimiento se configuran como propiedades sensibles accesibles únicamente para los roles de compliance y dirección. El equipo comercial ve el contacto pero no esos campos.
3
Módulo Sensitive Data: cifrado adicional para información regulada
Las propiedades clasificadas como Sensitive Data o Highly Sensitive Data en HubSpot Enterprise reciben cifrado adicional y restricciones de acceso más estrictas. HubSpot garantiza que estas propiedades no son utilizadas para entrenar sus modelos de IA, añadiendo una capa de protección específica para datos financieros regulados.
Requisito técnico: Field-level security para propiedades sensibles requiere CRM Enterprise. La clasificación Sensitive Data y Highly Sensitive Data está disponible en planes Enterprise. La visibilidad de propiedades por equipo está disponible desde Professional.
Teams y User Roles: visibilidad segmentada por país y línea de negocio
Organiza equipos grandes de ventas y servicio en estructuras jerárquicas por país o producto con visibilidad de datos delimitada por pertenencia de equipo.
La estructura padre-hijo para grupos bancarios
HubSpot permite crear jerarquías de equipos con relaciones padre-hijo que reflejan la estructura organizativa real del grupo. El equipo padre representa la organización de nivel holding con visibilidad sobre todos los equipos hijos. Cada equipo hijo representa una entidad, un país o una línea de negocio con visibilidad restringida a sus propios registros.
Esta estructura no requiere portales separados. Dentro del mismo portal, el director de grupo ve todos los registros de todas las entidades, mientras que el gestor comercial de la entidad en Colombia solo ve los registros de su equipo. La separación es operativa, no técnica, y se gestiona desde Settings > Users & Teams sin código adicional.
Estructura de Teams en HubSpot para un grupo bancario
👁 Equipo Holding — Visibilidad total
🇲🇽 Equipo México
Banca Privada MX
Corporativa MX
🇪🇸 Equipo España
Banca Privada ES
Corporativa ES
Los equipos hijos ven únicamente sus propios registros. El equipo holding ve todos. La visibilidad no es recíproca.
Los tres niveles de visibilidad de registros en HubSpot
Nivel de visibilidad
Qué puede ver el usuario
Perfil recomendado en banca
Owned Only
Únicamente los registros donde el usuario es propietario directo
Gestores comerciales, ejecutivos de cuenta
Team Only
Todos los registros asignados a cualquier miembro de su equipo
Managers de equipo de país, líderes de línea de negocio
All Records
Todos los registros del portal independientemente del propietario o equipo
Directores de grupo, Super Admins (máximo 2-3 por portal)
Preguntas frecuentes
¿Qué son los Permission Sets (Roles) de HubSpot y cómo funcionan para grupos financieros?
+
Los Permission Sets, ahora llamados Roles en HubSpot, son conjuntos de permisos predefinidos que se asignan a grupos de usuarios en lugar de configurar cada cuenta individualmente. Para un grupo financiero, el administrador define una vez los accesos para cada función: Gestor Comercial Colombia, Director de Banca Privada México, Equipo de Cumplimiento. Cualquier cambio en el conjunto se propaga automáticamente a todos los usuarios asignados. Disponible en CRM Enterprise.
¿Puede HubSpot restringir el acceso a campos financieros sensibles como montos de deal o clasificaciones de riesgo?
+
Sí. El field-level security de CRM Enterprise permite restringir la visibilidad y edición de propiedades específicas a roles o equipos determinados. Un ejecutivo comercial puede ver el perfil del cliente pero no los campos de clasificación de riesgo ni los límites de crédito. Esos campos solo son visibles para los roles de cumplimiento o dirección. La restricción aplica a propiedades de contacto, empresa, deal y ticket de forma independiente.
¿Cómo segmenta HubSpot equipos de ventas y servicio por país o línea de producto dentro de un grupo bancario?
+
Mediante la estructura de Teams con jerarquía padre-hijo. El grupo configura un equipo padre que representa la organización global y equipos hijos por país o línea de negocio: Banca Privada España, Corporativa México, Pyme Colombia. Los miembros de cada equipo hijo solo ven los registros asignados a su equipo. Los líderes del equipo padre tienen visibilidad sobre todos los equipos hijos sin que esa visibilidad sea recíproca.
¿Qué diferencia hay entre Owned Only, Team Only y All Records en HubSpot?
+
Son tres niveles de visibilidad de registros configurables por objeto. Owned Only restringe al usuario a ver únicamente los registros donde es propietario directo. Team Only permite ver todos los registros del equipo, no solo los propios. All Records da visibilidad completa sobre todo el portal. Para grupos financieros: Owned Only para gestores comerciales, Team Only para managers de país, All Records para directores de grupo o Super Admins del holding.
¿Puede HubSpot evitar que un equipo de un país edite registros de clientes de otro país?
+
Sí, mediante la combinación de Team Only visibility y Permission Sets por entidad. Si los registros de cada país están asignados al equipo correspondiente, un usuario con Team Only solo puede ver y editar los registros de su propio equipo. Para separación absoluta con bases de datos distintas, la arquitectura recomendada es Multi-Account Management con portales independientes por entidad.
¿Cómo protege HubSpot los datos del módulo Sensitive Data?
+
El módulo Sensitive Data clasifica propiedades como sensibles o altamente sensibles. Las propiedades sensibles tienen cifrado adicional y solo son accesibles para usuarios con permisos específicos. Las altamente sensibles reciben restricciones y cifrado adicionales. HubSpot garantiza que los datos clasificados como sensibles no son utilizados para entrenar sus modelos de IA, protección relevante para información financiera de clientes.
¿Desde qué plan están disponibles los Permission Sets y el field-level security?
+
Los Permission Sets personalizados (Roles) requieren CRM Enterprise. El field-level security para propiedades sensibles también requiere Enterprise. La visibilidad por equipo (Team Only vs Owned Only) está disponible desde Professional. El módulo Sensitive Data con cifrado adicional está disponible en Enterprise. Los planes gratuito y Starter permiten permisos básicos por usuario pero sin conjuntos reutilizables ni restricciones a nivel de campo.
¿Puede HubSpot controlar quién puede exportar datos del CRM en un grupo financiero?
+
Sí. El permiso de exportación es configurable por Role. Para roles operativos se desactiva la exportación directa y se activa la solicitud de aprobación de un Super Admin. Para grupos financieros donde el control de salida de datos es crítico, la configuración recomendada es desactivar Export without approval para todos los roles comerciales y activar Approve exports únicamente para administradores designados.
¿Cómo funciona el control de permisos de IA (Breeze) para datos financieros sensibles?
+
HubSpot gestiona los permisos de IA de forma granular desde Settings > AI > Data Governance. Los Super Admins configuran qué objetos puede leer Breeze por función: pueden permitir acceso a contactos y tickets para resúmenes mientras bloquean explícitamente el acceso a datos de deals o revenue. Las propiedades clasificadas como Sensitive Data no entrenan los modelos de IA de HubSpot.
¿Puede HubSpot escalar la gestión de permisos cuando el grupo añade nuevos equipos o mercados?
+
Sí. Cuando se incorpora un nuevo mercado o equipo, el administrador crea el equipo correspondiente, asigna el Role ya definido y los nuevos miembros heredan automáticamente todos los permisos configurados. Los Presets de HubSpot combinan Permission Set, asignación de equipo por defecto y acceso a seats en una sola configuración reutilizable, reduciendo el tiempo de onboarding de nuevos usuarios en organizaciones grandes.
