Controles de seguridad, escritos para quien rellena el cuestionario
Centros de datos en la UE por defecto. Cifrado TLS impuesto en tránsito, no solo ofrecido. AES-256 en reposo. IPs dedicadas que no se comparten con desconocidos. Una jurisdicción sueca que elimina el papeleo de transferencia de datos en lugar de añadirlo. Esta página explica cada control, dibuja los límites con honestidad, y te apunta a lo que puedes verificar tú mismo, incluida la autenticación de nuestro propio dominio, que puedes auditar con las herramientas gratuitas de este sitio.
Qué aseguramos y qué te pedimos que verifiques tú mismo
La mayoría de las páginas de seguridad son un muro de sellos. Preferimos contarte qué hacen los controles de verdad, dónde están los límites, y qué afirmaciones puedes comprobar por tu cuenta sin tener que creernos nada. La infraestructura de email es un terreno donde la distancia entre "nos tomamos la seguridad en serio" y la práctica demostrable suele ser amplia, y los clientes que nos importan —bancos, fintechs, sistemas de salud, equipos del sector público— ya lo saben. Así que esta página está escrita para la persona que tiene que rellenar un cuestionario de seguridad de proveedores y prefiere las respuestas por adelantado.
La versión corta: centros de datos en la UE por defecto, cifrado en tránsito impuesto en lugar de ofrecido, cifrado en reposo con AES-256, IPs dedicadas que no se comparten con desconocidos, un equipo pequeño con nombres y apellidos en vez de una cola de soporte anónima, y una jurisdicción —Suecia— que no nos obliga a montar un apaño de transferencia de datos para mantenernos limpios ante el RGPD. La versión larga está debajo, control por control.
Dónde vive físicamente tu información
Las ubicaciones de envío por defecto son Suecia y Alemania. Ambos son estados miembros de la UE, ambos centros de datos se operan dentro de la UE, y la propia empresa es sueca: Authorize Hosting AB, registrada y dirigida desde Stockholm. Esa combinación es la parte que, en silencio, le quita mucho trabajo a tu equipo de cumplimiento. Cuando el operador, el procesamiento y la residencia de datos están todos dentro de la UE, no hay transferencia del Capítulo V que documentar, ni Cláusulas Contractuales Tipo que adjuntar, ni argumento de adecuación post-Schrems II que construir, ni Evaluación de Impacto de Transferencia que mantener al día. Los datos no salen del bloque, así que la pregunta sobre el mecanismo de transferencia nunca aparece.
Para clientes en España, esto encaja directamente con la postura de la AEPD sobre transferencias internacionales y con el Esquema Nacional de Seguridad cuando hay una administración pública de por medio. Para clientes en Latinoamérica —una fintech bajo la Ley 25.326 argentina, un retailer chileno bajo la Ley 19.628 reformada, una empresa mexicana bajo la LFPDPPP, una operación brasileña bajo la LGPD— el hecho de que el procesamiento ocurra bajo el RGPD europeo suele ser el estándar más alto disponible, y simplifica la conversación con cualquier auditor que pregunte dónde acaban los datos. Las regiones de envío en EE. UU. y Asia-Pacífico existen en planes Custom, pero son opcionales y solo se aprovisionan cuando la latencia o un requisito regulatorio concreto lo justifican de verdad. No enrutamos correo de clientes UE por una región estadounidense para ahorrar unos milisegundos.
Cifrado en tránsito: impuesto, no opcional
Este es el control que la mayoría de proveedores pasan por alto, porque SMTP lo pone fácil. El protocolo se diseñó en una época sin cifrado alguno. STARTTLS, que añadió la opción de elevar una conexión a TLS, llegó en 1999, y la palabra "opción" es el problema. El TLS oportunista puede ser despojado por un atacante situado entre dos servidores de correo: interceptan la conexión, suprimen el anuncio de STARTTLS, y el mensaje se entrega en texto plano mientras ambos extremos creen que no pasó nada. Es un ataque de degradación, y no deja rastro.
La solución es MTA-STS —Mail Transfer Agent Strict Transport Security—, que publica una política indicando a los servidores emisores que TLS es obligatorio y que la entrega debe fallar antes que caer a texto plano. Ejecutamos MTA-STS en modo enforce en nuestros propios dominios y lo configuramos para clientes gestionados como parte del montaje estándar, emparejado con TLS-RPT para que cualquier conexión rechazada produzca un informe que puedas leer de verdad. Usamos el mismo decodificador de informes TLS que publicamos gratis para parsear esos informes. TLS 1.2 es el suelo; 1.3 es el preferido y se negocia siempre que el lado receptor lo soporte. Para clientes cuyos socios receptores tienen DNSSEC en marcha, añadimos DANE con registros TLSA junto a MTA-STS, ya que ambos no son excluyentes y DANE elimina por completo la suposición de confianza en la autoridad certificadora.
Nada de esto es exótico. Es una configuración de quince minutos que un número sorprendente de grandes remitentes todavía no ha hecho. La razón por la que importa en una página de seguridad es que "ciframos el correo en tránsito" es técnicamente cierto para casi todos y operativamente vacío salvo que el cifrado esté impuesto. El nuestro lo está.
Cifrado en reposo, y qué guardamos
Los datos almacenados —metadatos de mensajes, logs, correo en cola, registros de cuenta— se cifran en reposo con AES-256. La propiedad de seguridad más útil, sin embargo, es lo poco que retenemos y durante cuánto tiempo. El contenido del correo se conserva solo lo que la entrega y la ventana de retención acordada contractualmente exigen; no mantenemos un archivo permanente de los cuerpos de mensaje de los clientes por norma, porque un archivo que no tienes es un archivo que no puede filtrarse. Los logs necesarios para el diagnóstico de entregabilidad y la gestión de abuso se retienen según un calendario definido y luego caducan. Los detalles de retención viven en el Acuerdo de Procesamiento de Datos, que es el documento que tu equipo legal querrá de verdad, en lugar de un resumen de marketing del mismo.
La autenticación es un control de seguridad, no solo de entregabilidad
SPF, DKIM y DMARC se archivan bajo "entregabilidad" casi siempre, y sí afectan a si el correo llega a la bandeja. Pero su primer trabajo es de seguridad: son lo que impide que alguien envíe correo afirmando ser de tu dominio. DMARC en p=reject es la diferencia entre una campaña de phishing que puede suplantar tu dirección de facturación y una que no puede. Tratamos la pila de autenticación como un entregable de seguridad. Los clientes gestionados reciben SPF mantenido bajo el límite de 10 consultas, firma DKIM a 2048 bits, DMARC llevado deliberadamente hacia el enforcement con los informes agregados monitorizados, y BIMI donde haya un Certificado de Marca Verificada. Las herramientas gratuitas de este sitio —el verificador DMARC, el aplanador SPF, el tester DKIM— son las mismas comprobaciones que ejecutamos internamente, publicadas para que puedas auditar cualquier dominio, incluido el nuestro.
IPs dedicadas y aislamiento entre inquilinos
Cada plan de entrada incluye IPs dedicadas. Es una decisión de entregabilidad y de seguridad. En infraestructura de envío compartida, tu reputación de envío queda secuestrada por quienquiera que esté en la misma IP, y la cuenta comprometida o la ráfaga de spam de un vecino se convierte en tu listado en blocklist. Las IPs dedicadas significan que la reputación es tuya, el aislamiento es real, y no hay radio de explosión por vecino ruidoso. Para clientes en servidores dedicados y PowerMTA gestionado, el aislamiento se extiende al host: separación bare-metal en lugar de un pool multi-inquilino compartido.
El panorama regulatorio, mapeado con honestidad
Operamos dentro de una red de marcos europeos solapados, y en lugar de declarar "cumplimiento" general con todos ellos, aquí está dónde toca cada uno a un operador de infraestructura de email y qué significa para ti como cliente.
RGPD es la base. Actuamos como encargado del tratamiento para los datos de clientes que envías a través de nosotros, el DPA define esa relación, y la residencia UE por defecto mantiene simples las reglas de transferencia. Las obligaciones de notificación de brechas corren sobre el reloj de 72 horas, y nuestro proceso interno de incidentes está construido sobre ese plazo. Para clientes españoles, esto se complementa con la LOPDGDD; para los latinoamericanos, suele cubrir con margen los requisitos de la LGPD brasileña, la LFPDPPP mexicana, la Ley 25.326 argentina y los regímenes equivalentes de la región.
NIS2 —la Directiva de Seguridad de las Redes y Sistemas de Información 2— es la que más se ha reconfigurado en los últimos dieciocho meses. Los estados miembros debían transponerla para octubre de 2024, y a lo largo de 2026 las autoridades nacionales han ido trabajando la identificación de entidades. NIS2 nos afecta en dos direcciones: como operador de infraestructura digital estamos más cerca de su ámbito que un proveedor SaaS típico, y muchos de nuestros clientes están ellos mismos dentro del ámbito y necesitan que sus proveedores demuestren alineación. Las sanciones de la directiva son a escala RGPD —hasta 10 millones de euros o el 2% de la facturación global para entidades esenciales, 7 millones o el 1,4% para las importantes—, razón por la que la diligencia debida sobre proveedores se ha vuelto real en lugar de teórica. El solapamiento práctico es que un sistema de gestión de seguridad de la información estilo ISO 27001 cubre casi todo lo que NIS2 pide; los plazos de notificación de incidentes (una alerta temprana de 24 horas bajo NIS2) son la parte que requiere preparación operativa concreta más que solo documentación.
DORA —el Reglamento de Resiliencia Operativa Digital— aplica verticalmente al sector financiero y a sus proveedores TIC. El periodo de gracia terminó a principios de 2026, así que los clientes financieros ahora necesitan de verdad que sus proveedores tecnológicos evidencien resiliencia y gestión de riesgo de terceros. Si eres un banco o una fintech que envía a través de nosotros, los puntos de contacto relevantes de DORA son nuestra gestión de incidentes, nuestra planificación de continuidad, y las cláusulas contractuales del DPA que te permiten cumplir tus propias obligaciones de supervisión de terceros. No somos una entidad financiera, pero sí el tipo de tercero TIC que DORA espera que evalúes, y hemos estructurado el papeleo para que esa evaluación sea sencilla.
ISO 27001 es el tejido conectivo. Gestionamos nuestra seguridad de la información sobre el modelo ISO 27001:2022 —identificación de riesgos, controles proporcionados, procedimientos documentados, mejora continua—. Somos transparentes en que operar conforme a la norma y poseer un certificado vigente de tercera parte son dos afirmaciones distintas; donde la contratación de un cliente requiera el certificado específicamente, esa es una conversación directa, no una casilla que asumir. El encuadre honesto importa más aquí que el optimista, porque un cuestionario de seguridad respondido con optimismo es un pasivo que heredas después.
Cómo se gestionan los incidentes
Cuando algo va mal —una IP entra en una lista, una cuenta de cliente se compromete, aparece de la noche a la mañana un desplome de entregabilidad— el valor de un equipo pequeño y con nombres es que responde alguien que entiende el sistema. No hay guion de nivel uno, ni ticket rebotando entre colas, ni espera al relevo de un turno deslocalizado. El proceso de incidentes corre sobre los plazos de notificación que exige la regulación (72 horas para una brecha de datos personales bajo RGPD, las ventanas de alerta temprana más cortas donde NIS2 aplica a las obligaciones propias del cliente), y las personas que hacen la remediación son las mismas que operan la infraestructura a diario. Para incidentes de entregabilidad en concreto —el listado en blocklist a las 4 de la madrugada de un sábado— el operador de guardia ha lidiado con el mismo listado en otra infraestructura de cliente hace poco, que es la diferencia entre una recuperación rápida y una semana de confusión.
Qué puedes verificar sin preguntarnos
Las páginas de confianza mejoran cuando el lector puede comprobar las afirmaciones por su cuenta. Algunas que puedes verificar ahora mismo: pasa nuestro propio dominio por el verificador DMARC y confirma que la política está en enforcement. Revisa nuestro archivo de política MTA-STS —se sirve sobre HTTPS en la ruta well-known estándar—, y el decodificador de informes TLS te dirá si la seguridad de transporte está configurada. Busca la empresa: Authorize Hosting AB es una entidad sueca realmente registrada, y el CEO, Mikael Vainiomaa, la dirige desde 2012 y es localizable en LinkedIn. 23 años de operación continua son en sí mismos una señal de seguridad: los proveedores que recortan en infraestructura rara vez duran tanto.
El documento que tu equipo legal necesita de verdad
Esta página es el resumen legible. El Acuerdo de Procesamiento de Datos es la versión vinculante, con los detalles de retención, las condiciones de subencargados y los compromisos de notificación de brechas redactados conforme al Artículo 28 del RGPD. Para un cuestionario de seguridad o una evaluación de proveedor, empieza ahí y habla con nosotros para cualquier cosa que no cubra.
Qué no afirmamos
No declaramos certificaciones que no tenemos. No nos describimos como "los más seguros" de nada. No prometemos que el correo nunca será interceptado, solo que hemos impuesto los controles que hacen la interceptación genuinamente difícil y reportable cuando se intenta. Y no fingimos que el cuadro regulatorio es más simple de lo que es: NIS2, DORA, RGPD e ISO 27001 se solapan de formas que cuesta trabajo real navegar, y un proveedor que te dice que el cumplimiento es automático es un proveedor del que desconfiar. La versión fiable de una página de confianza es la que dibuja los límites con claridad. Esta es la nuestra.