«Soberano» se ha convertido en una palabra de marketing, lo que la vuelve inútil para decidir nada. Así que aquí tiene una prueba concreta. Pase su instalación actual por estas doce comprobaciones. Llevan cinco minutos, no necesitan correo, y le dirán con honestidad cuánto de su stack está genuinamente bajo su control — frente a simplemente alojado en el lugar correcto.
La autoevaluación de 12 puntos
Para cada punto, un «sí» seguro es buena señal. Un «no» o un «no estoy seguro» es donde vive su exposición.
- 1. Jurisdicción del proveedor — ¿está cada proveedor que guarda sus datos constituido bajo una ley en la que confía, en lugar de ser filial de uno extranjero?
- 2. Exposición al CLOUD Act — ¿puede afirmar, para cada sistema, que ningún proveedor con sede en EE. UU. controla los datos, ni siquiera en una región de la UE?
- 3. Ubicación de los datos — ¿sabe de verdad en qué país se almacena cada conjunto de datos, y puede demostrarlo?
- 4. Claves de cifrado — ¿posee sus propias claves, de modo que el acceso sea su decisión y no algo por defecto del proveedor?
- 5. Portabilidad del proveedor — ¿podría cambiar a otro proveedor sin una reconstrucción, y hay una vía de salida escrita?
- 6. Control del correo — ¿está su correo sobre infraestructura que usted controla o en un proveedor europeo, con SPF, DKIM y DMARC aplicados?
- 7. Copias de seguridad — ¿se guardan las copias en un lugar que usted controla, restaurables sin el proveedor original, y se prueban de verdad?
- 8. Flujo de datos de IA — cuando su equipo usa IA, ¿sabe si sus documentos salen de su perímetro, y a dónde van?
- 9. Identidad y acceso — ¿gestiona su propia identidad (cuentas, MFA, altas/bajas) en lugar de depender de una única plataforma extranjera?
- 10. Dependencia — ¿son sus sistemas centrales open source o están basados en estándares abiertos, de modo que no sea rehén de la hoja de ruta y los precios de un solo proveedor?
- 11. Documentación — ¿podría un nuevo partner retomar su stack a partir de documentación escrita que usted posee, sin el proveedor actual en la sala?
- 12. Subencargados — ¿tiene una lista actual de quién toca realmente sus datos, y bajo qué ley operan?
¿Qué puntuación ha sacado?
Nadie saca doce de doce, y no hace falta. La cuestión no es una puntuación perfecta — es saber dónde está su exposición real, y decidir qué carencias merece la pena cerrar. El perfil de riesgo de un banco es distinto del de un estudio de diseño.
Mayoría de «sí»
Está en una forma genuinamente buena — más soberano que la mayoría. Conviene una revisión periódica a medida que añade herramientas, ya que cada nuevo SaaS suma en silencio subencargados y flujos de datos.
Unos cuantos «no» o «no estoy seguro»
Normal, y subsanable. Los «no estoy seguro» son los primeros que perseguir — la incertidumbre suele ocultar la mayor exposición. Elija los dos o tres que más importan para su sector y ciérrelos de forma deliberada.
Si quiere un segundo par de ojos, eso es exactamente lo que hace nuestra auditoría gratuita de soberanía e IA: pasamos su stack por esto en profundidad y le entregamos un conjunto escrito y priorizado de próximos pasos — sin compromiso.
Preguntas frecuentes
- ¿Tengo que dar mi correo para obtener esto?
- No. La autoevaluación completa está en esta página, gratis, sin nada que rellenar — esa es la cuestión de priorizar la privacidad. Si quiere aplicarla a su stack concreto, la auditoría gratuita hace justo eso.
- ¿Cuál es la diferencia entre alojado-en-Europa y soberano?
- Alojar en Europa satisface la residencia de los datos — dónde residen los datos. La soberanía va de control y jurisdicción: quién puede obligar a acceder, si posee las claves y si puede marcharse. La región de la UE de una nube estadounidense es residente, pero no soberana.
- ¿Es la puntuación perfecta el objetivo?
- No. El objetivo es un mapa honesto de su exposición para que pueda cerrar las carencias que importan a su empresa. Distintos sectores justifican distintos niveles de rigor.