23 años desde Estocolmo
Soluciones · Sector público

Infraestructura email para organismos del sector público que necesitan responder "no" a la pregunta de ley de tercer país

La contratación pública en 2026 está dominada por una pregunta: ¿está el proveedor sujeto a una ley de tercer país con alcance extraterritorial? El Marco UE de Soberanía Cloud de octubre 2025 codificó la pregunta en ocho objetivos específicos de soberanía. SecNumCloud en Francia, C5 en Alemania, ENS Real Decreto 311/2022 en España, y Gaia-X a través de la UE plantean la misma demanda desde diferentes ángulos. La CLOUD Act de 2018 significa que la respuesta para cualquier proveedor de propiedad estadounidense — incluyendo AWS Frankfurt y Azure Germany — es "sí, los tribunales estadounidenses pueden compeler la divulgación de datos almacenados en suelo UE". Authorize Hosting es una entidad sueca sin propiedad estadounidense en la cadena corporativa, con infraestructura en Stockholm y Frankfurt, y un perfil de procurement estructurado para compradores del sector público en la UE y jurisdicciones LATAM adoptando marcos equivalentes de soberanía.

La pregunta de ley de tercer país que decide la contratación pública

Schrems II recableó lo que significa "residencia de datos en la UE". La CLOUD Act hizo el recableado permanente. Los compradores del sector público absorbieron ambos.

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea dictaminó en Schrems II que el Privacy Shield UE-EE.UU. era inválido porque la ley de vigilancia estadounidense — FISA Sección 702 y Orden Ejecutiva 12333 — no proporcionaba equivalencia esencial a la protección de datos de la UE. El tribunal preservó las Cláusulas Contractuales Tipo (CCT) como mecanismo de transferencia pero añadió una condición crítica: el exportador de datos debe realizar una Evaluación de Impacto de Transferencia (TIA) y añadir "medidas suplementarias" si las leyes de vigilancia del destino fallan la prueba de proporcionalidad. Las Recomendaciones 01/2020 del EDPB de noviembre 2020 listaron medidas suplementarias ejemplares — pseudonimización, cifrado extremo a extremo con claves controladas fuera del destino, división de datos entre jurisdicciones para que ningún procesador único pueda reconstruirlos.

El Marco UE-EE.UU. de Protección de Datos adoptado en 2023 reemplazó el Privacy Shield con una nueva decisión de adecuación, pero las leyes de vigilancia subyacentes no cambiaron. La CLOUD Act (Clarifying Lawful Overseas Use of Data Act) firmada en marzo 2018 sigue permitiendo a las autoridades estadounidenses compeler a cualquier proveedor de servicios de comunicación electrónica propiedad de EE.UU. — dondequiera que los datos estén físicamente ubicados — a divulgar contenido almacenado. AWS Frankfurt, Azure Germany, Google Cloud Bélgica son todos de propiedad estadounidense, todos sujetos a ley estadounidense, todos extraterritorialmente alcanzables por tribunales estadounidenses. El data center está en la UE; la entidad legal que lo opera está en EE.UU. Residencia de datos UE sin entidad legal soberana es localización de datos, no soberanía.

Para compradores del sector público, esta distinción se convirtió en política de procurement en octubre 2025 cuando la Comisión Europea publicó el Marco UE de Soberanía Cloud. El Marco define ocho objetivos de soberanía para instituciones UE que adquieran servicios cloud: soberanía jurisdiccional (entidad legal fuera del alcance de ley de tercer país), soberanía operacional (personal clave y controles operacionales en la UE), soberanía de datos (ubicación, tránsito y procesamiento de datos todos dentro de la UE), soberanía tecnológica (stack tecnológico no dependiente de PI de tercer país), soberanía de cadena de suministro (sin componentes críticos de proveedores de tercer país), soberanía económica (evitar lock-in a dependencia económica no-UE), soberanía de seguridad (alineación con estándares ciberseguridad UE incluyendo NIS2), y soberanía de acceso (sin compulsión de autoridades de tercer país).

Para España, el equivalente nacional principal es el Esquema Nacional de Seguridad (ENS) Real Decreto 311/2022, supervisado por el CCN-CERT (Centro Criptológico Nacional), con tres niveles (Básico, Medio, Alto). El nivel Alto es requerido para datos sensibles de ciudadanos. Las administraciones públicas españolas (Estatal, Autonómica, Local) operan bajo el ENS combinado con la LOPD-GDD (Ley Orgánica 3/2018), supervisión de la AEPD, y los principios de soberanía digital que el Plan España Digital 2026 promueve. Adicionalmente, SecNumCloud (Francia, ANSSI), C5 (Alemania, BSI), y Gaia-X proporcionan los marcos equivalentes en las jurisdicciones UE vecinas.

Lo que esto significa en la práctica para infraestructura email: correspondencia gubernamental, comunicaciones con ciudadanos, email interno del funcionariado, notificaciones de Hacienda (AEAT, SAT, etc), comunicaciones sanitarias desde hospitales públicos, notificaciones judiciales, procurement de defensa — todos estos workloads son crecientemente contratados bajo RFPs alineados con el marco de soberanía que excluyen a proveedores de propiedad estadounidense por definición contractual. Authorize Hosting fue incorporada en Suecia en 2003 sin propiedad estadounidense en la cadena corporativa; la base operacional es Stockholm con infraestructura secundaria en Frankfurt; el personal clave son ciudadanos UE; el stack tecnológico es open-source (PowerMTA siendo la única excepción, pero operado bajo nuestra propia licencia desde una jurisdicción UE); los subprocesadores son jurisdiccionales UE. El perfil coincide con el marco de soberanía por diseño estructural, no por marketing adaptado. Para LATAM, equivalencias similares aplican: México (MAAGTICSI + Plan TIC SCT), Brasil (LGPD + Marco Civil + ANPD), Colombia (Ley 1581 + Plan TIC 2026), Chile (Ley 19.628 reformada 2024), Argentina (Ley 25.326).

Modelado de exposición a soberanía

Cuánto de tu estado email está expuesto a ley de tercer país ahora mismo

Mueve los sliders. Las matemáticas mapean tu estado de envío contra los ocho objetivos de soberanía del Marco UE de Soberanía Cloud. La salida es el porcentaje de tu estado que falla la prueba típica de RFP 2026 de "sin ley de tercer país con alcance extraterritorial".

10K (agencia pequeña)50M (ministerio nacional)
Bajo (Tier C)MixtoMedio Tier ATodo Tier A
USA hiper.USA ESPUE mixtoUE soberano
1 mes (urgente)48 meses

Matemáticas: exposición = (volumen × peso del tier × multiplicador del proveedor). Pesos: Bajo/Tier C = 0,05; Mixto = 0,30; Medio Tier A = 0,60; Todo Tier A = 1,0. Multiplicadores (relativos a los 8 objetivos): Hiperescala USA = 1,0 (falla 6 de 8); ESP USA = 0,85 (falla 5 de 8); UE mixto = 0,30 (falla 2 de 8); UE soberano = 0,05 (pasa 8 de 8). Urgencia es no-lineal pasados los 18 meses dado el ciclo típico de procurement y el tiempo requerido para warmup IP, negociación contractual, y alineación de stakeholders.

Exposición del estado
60%
De tu estado falla la prueba de ley de tercer país
Volumen mensual 2.000.000
Objetivos de soberanía fallados 6 de 8
Urgencia de migración Alta
Fecha más temprana RFP-ready Mes 4

Pasa a UE soberano y la exposición baja a ~5%, satisfaciendo los 8 objetivos. Una migración típica a nuestra infraestructura para un comprador del sector público toma 90-120 días end-to-end: 30 días para revisión de procurement-readiness, 30 días para warmup IP y progresión DMARC, 30 días para validación de parallel-run, 30 días para corte completo y desactivación.

Los 8 objetivos de soberanía, mapeados a nuestra infraestructura

Cómo Authorize Hosting mapea al Marco UE de Soberanía Cloud octubre 2025

El Marco define ocho objetivos de soberanía que las instituciones UE están animadas (y crecientemente requeridas) a evaluar al contratar servicios cloud. Abajo: cómo mapea cada uno a un proveedor email de propiedad estadounidense versus nuestra infraestructura.

Objetivo 1 — Jurisdiccional

Entidad legal fuera del alcance de ley de tercer país

Authorize Hosting es una entidad sueca (Stockholm, establecida 2003), sin propiedad estadounidense en la cadena corporativa. No sujeta a CLOUD Act, FISA 702, ni Orden Ejecutiva 12333.

Alternativa USA-propiedad: Sujeta a CLOUD Act independientemente de ubicación del data center UE. La decisión de adecuación (DPF) no anula el riesgo de acceso compelido.

Objetivo 2 — Operacional

Personal clave y controles operacionales en la UE

Equipo operacional residente en UE (Suecia, Alemania, España). Rotación on-call Stockholm-Frankfurt. Acceso root a infraestructura de producción requiere credenciales de ciudadanía UE.

Alternativa USA-propiedad: Equipos de ingeniería y producto típicamente USA-based; variantes "EU sovereign cloud" ofrecen staff UE pero la arquitectura y credenciales root aún fluyen a través del corporativo USA.

Objetivo 3 — Datos

Ubicación, tránsito y procesamiento de datos todos dentro de la UE

Infraestructura primaria en Estocolmo; secundaria en Frankfurt. Ambas son jurisdicciones UE. El ruteo por defecto mantiene el mensaje dentro de la UE durante todo su ciclo de vida.

Alternativa USA-propiedad: Data center UE disponible; filtrado de spam, manejo de abuse y telemetría operacional típicamente fluyen a través de servicios USA-based.

Objetivo 4 — Tecnológico

Stack tecnológico no dependiente de PI de tercer país

Stack: AlmaLinux + Dovecot + Postfix + PowerMTA + tooling UE-construido. PowerMTA es el único componente de origen USA; migración a KumoMTA (Apache 2.0, Rust) factible si el procurement requiere exposición cero a PI USA.

Alternativa USA-propiedad: Arquitectura propietaria; vendor lock-in es estructural.

Objetivo 5 — Cadena de suministro

Sin componentes críticos de proveedores de tercer país

El hardware es Xeon empresarial (Intel, origen USA) — la excepción universal que ningún cloud UE puede evitar hoy. La soberanía de CPU es el problema abierto que el European Chips Act está abordando en horizonte multi-anual.

Alternativa USA-propiedad: Misma dependencia CPU, más networking USA-controlado, cadena de software USA-controlada.

Objetivo 6 — Económico

Evitar lock-in a dependencia económica no-UE

Precios en EUR, contratos bajo ley sueca o alemana, cumplimiento IVA UE, sin obligaciones de auditoría de tercer país. Ingresos europeos; impuesto de sociedades pagado en la UE.

Alternativa USA-propiedad: Ingresos UE fluyen de vuelta a matriz USA; impuesto de sociedades vía estructuras irlandesas/luxemburguesas.

Objetivo 7 — Seguridad

Alineación con estándares ciberseguridad UE (NIS2)

Controles operacionales alineados con NIS2, workflows de reporte de incidentes que satisfacen la cadencia de aviso de 24h y notificación de 72h, ISMS ISO 27001 documentado, alineación con áreas de control C5 para evaluación de procurement.

Alternativa USA-propiedad: Compliance NIS2 posible pero con la pregunta jurisdiccional subyacente aún sin resolver.

Objetivo 8 — Acceso

Sin compulsión de autoridades de tercer país

Este es el objetivo de línea roja. Authorize Hosting no está sujeta a divulgación compelida bajo CLOUD Act, FISA 702, Orden Ejecutiva 12333, National Security Letters, ni provisiones equivalentes fuera de la UE.

Alternativa USA-propiedad: CLOUD Act aplica directamente. El caso Microsoft Ireland (2018) fue tornado irrelevante por la aprobación de la CLOUD Act, que extendió la autoridad de warrants USA a datos en ultramar mantenidos por proveedores USA.

Estándares de procurement entre jurisdicciones

Cómo varían los marcos de contratación pública por jurisdicción — y dónde encajamos

Jurisdicción Estándar Autoridad Requisito email Nuestra alineación
Instituciones UE Marco UE Soberanía Cloud (oct 2025) Comisión Europea DG CNECT 8 objetivos de soberanía, los 8 requeridos para workloads sensibles 8 de 8 satisfechos (caveat soberanía CPU notado)
España ENS (Real Decreto 311/2022) CCN-CERT Tres niveles (Básico/Medio/Alto); Alto requerido para datos sensibles de ciudadanos Alineado con ENS Medio como línea base; engagements de nivel Alto soportados con controles contractuales adicionales
Francia SecNumCloud 3.2 ANSSI Cualificación requerida para datos gubernamentales sensibles; inmunidad a ley no-UE Alineado en perfil; cualificación SecNumCloud es un proceso nacional francés que cursamos para despliegues relevantes
Alemania C5 (Cloud Computing Compliance Criteria Catalogue) BSI 17 áreas de control; proveedores BSI-certificados preferidos para procurement federal Alineado en controles; auditoría C5 disponible para engagements federales/Land
Federación UE Gaia-X Gaia-X AISBL Estándares de interoperabilidad + etiquetas de soberanía (Niveles 1, 2, 3) Alineado con principios Gaia-X; etiquetas de soberanía disponibles según requiera participación en espacios de datos
NIS2 UE Transposición Directiva NIS2 Autoridades nacionales competentes Línea base ciberseguridad para entidades esenciales e importantes NIS2-alineado; workflow de reporte de incidentes per Art. 23
LATAM (México) MAAGTICSI Secretaría de la Función Pública Marco ciberseguridad ICT para agencias federales Alineado; engagements LATAM típicamente emparejan nuestro ruteo UE con equivalentes locales DPA
LATAM (Brasil) LGPD + Marco Civil + Plan TIC ANPD ANPD Soberanía de datos ciudadanos; guía específica sobre procesamiento transfronterizo público Alineado; engagements con compradores públicos brasileños estructurados con DPO local + cadena UE-soberana
LATAM (Colombia) Ley 1581 + Plan TIC 2026 SIC (Superintendencia) Soberanía operacional colombiana; circular SIC para datos sensibles Alineado; engagements con MinTIC y agencias municipales soportados

Estándares verificados contra documentación publicada vigente: Marco UE Soberanía Cloud (Comisión Europea oct 2025), SecNumCloud 3.2 (actualización ANSSI 2024), C5 (BSI 2020), ENS Real Decreto 311/2022 (España), Gaia-X AISBL Trust Framework, Directiva NIS2 (UE 2022/2555), MAAGTICSI (México SFP 2018), LGPD Brasil (Ley 13.709/2018), Ley 1581 Colombia. Referencias de ediciones y fechas de ciclo de auditoría disponibles bajo solicitud.

Qué entregamos para un engagement del sector público

Las piezas de infraestructura y el marco contractual que satisfacen los objetivos de soberanía

Lo que proveemos para compradores del sector público es la capa de envío regulada más el paquete de documentación procurement-ready. No reemplazamos tu suite de colaboración (Microsoft 365 o Google Workspace para productividad del staff sigue siendo la elección de la mayoría de organismos del sector público), pero sí reemplazamos la infraestructura SMTP para email cara a ciudadanos, notificaciones transaccionales, y cualquier correspondencia de alta sensibilidad donde aplique el marco de soberanía.

  • Ruteo solo-UE en Stockholm y Frankfurt, con flujos documentados Infraestructura primaria en Stockholm, secundaria en Frankfurt. El diagrama de flujo de datos para cualquier mensaje está documentado para revisión de procurement. Cada paso permanece dentro de la jurisdicción UE.
  • DPA Art. 28 RGPD + medidas suplementarias procurement-ready (Schrems II compliant) DPA pre-redactado alineado con Art. 28, con medidas suplementarias de Recomendaciones EDPB 01/2020 documentadas. Plantilla TIA pre-rellenada para escenario UE-only baseline.
  • SLA per-dominio con contactos nombrados y árbol de escalado Contacto operacional nombrado en horas laborables UE; rotación on-call con tiempos de respuesta documentados para severidad 1, 2 y 3; revisión trimestral del servicio con el punto de contacto del organismo contratante.
  • Marco de auditoría y asistencia de salida Cláusula derecho-a-auditar soportando auditorías del lado procurement y de autoridad supervisora (AEPD, BfDI, CNIL, ANSSI, BSI). Asistencia de salida documentada: al término, todos los datos son exportados, relaciones con subprocesadores son desenroscadas en plazo definido, traspaso operacional soportado hasta 90 días.
  • Aislamiento de reputación per-ministerio / per-agencia Un gobierno nacional típico tiene 20-40 ministerios y agencias, cada uno con su propio dominio de envío, base de ciudadanos, y perfil operacional. Aislamos cada uno con sus propias claves DKIM y (donde el volumen lo justifique) sus propias IPs dedicadas.
  • Manejo de datos ciudadanos alineado con RGPD Art. 6(1)(e) El procesamiento por sector público de datos ciudadanos bajo Art. 6(1)(e) (desempeño de tarea en interés público o ejercicio de autoridad oficial) requiere garantías específicas. Nuestro sistema mantiene logs de auditoría de cada comunicación, soporta derecho de acceso (Art. 15) y rectificación (Art. 16).
  • Workflow de reporte de incidentes NIS2 para proveedores cloud en scope Como proveedor cloud UE-residente, estamos en scope para NIS2 como "entidad importante" en la mayoría de transposiciones. Nuestro workflow de reporte sigue la cadencia de aviso 24h + notificación 72h + reporte final 1 mes que NIS2 Art. 23 requiere, con el paquete de evidencia técnica estructurado para envío directo al CSIRT nacional y autoridad supervisora.
  • Paquete de documentación procurement-ready (Día 1) Para RFPs y procurements competitivos, proveemos el set de documentación pre-rellenado: estructura corporativa (sin propiedad USA), diagramas de flujo de datos, lista de subprocesadores, paquete DPA + TIA, mapeo de objetivos de soberanía (8 de 8 con caveat CPU documentado), matriz de controles de seguridad mapeada a C5 / ENS / SecNumCloud / Gaia-X, documentación de estabilidad financiera, referencias de engagements comparables del sector público.
Escenarios de pricing

Cómo se dimensionan típicamente los engagements del sector público

Municipal / agencia local

SMTP Relay Pro + DPA · €749/mes

20 IPs dedicadas, paquete completo DPA + TIA, ruteo solo-UE documentado, workflow incidentes NIS2. La configuración para servicios municipales, agencias regionales, y organismos nacionales pequeños.

Ver SMTP Relay
Ministerio nacional / gobierno autonómico · Más común

PowerMTA Pro + Managed Deliverability · €2.699/mes

PowerMTA Pro (€1.499) + Managed Deliverability (€1.200). 20 IPs dedicadas, 150K msg/hr, contactos nombrados procurement y operacional, revisión trimestral del servicio, refresco completo de documentación de objetivos de soberanía. Tier de asentamiento para la mayoría de ministerios y gobiernos autonómicos.

Ver Managed Deliverability
Despliegue nacional / inter-ministerial

Personalizado · desde €7.500/mes

Arquitectura multi-servidor entre Stockholm + Frankfurt, espacio /24 IP dedicado, aislamiento per-ministerio, soporte de auditoría SecNumCloud o C5, alineación ENS Alto, DPA personalizado negociado con el equipo legal del organismo contratante, segregación grade-defensa donde el despliegue incluye workloads de manejo restringido.

Abrir conversación de procurement
Preguntas comunes de procurement del sector público

Lo que los equipos de procurement preguntan antes de emitir el aviso de contrato

¿Tenéis ENS Alto / SecNumCloud / C5 hoy?

+

Respuesta honesta: estamos alineados con los controles pero no certificados blanket en los tres. ENS Medio es nuestra alineación de línea base para engagements del sector público español; ENS Alto es alcanzable con controles contractuales adicionales y típicamente añadidos al contrato. SecNumCloud 3.2 es un proceso de cualificación nacional francés ligado a ofertas específicas; lo cursamos por engagement cuando el organismo contratante lo requiere, con timeline típico de preparación de 4-6 meses. C5 es más cercano a un marco de auditoría de áreas de control; mantenemos documentación alineada y podemos ofrecer auditoría C5 a solicitud del organismo, típicamente completando en 3 meses.

El patrón que recomendamos a los equipos de procurement: incluir la certificación como condición-de-contrato en lugar de pre-requisito-de-licitación. Esto permite seleccionar el mejor proveedor en bases técnicas y de soberanía, y luego condicionar la adjudicación a completar la certificación en plazo definido.

¿Cuál es vuestra posición sobre la excepción de soberanía CPU?

+

Honesto: cada proveedor cloud operando en Europa hoy depende de CPUs de origen USA o Asia-Oriente en la capa de silicio. Intel Xeon y AMD EPYC para compute de servidor; los controladores de red y almacenamiento similarmente se originan fuera de la UE. El European Chips Act adoptado en 2023 está en horizonte de 5-10 años para establecer capacidad indígena europea de manufactura de silicio a escala; hasta que ese horizonte llegue, todos compartimos esta dependencia.

Lo que significa para alineación con el marco de soberanía: Objetivo 5 (soberanía de cadena de suministro) es el único objetivo donde ningún proveedor cloud UE actual puede reclamar compliance pleno. El Marco reconoce esto implícitamente tratando la soberanía de cadena de suministro como objetivo graduado en lugar de prueba de línea roja. Nuestra postura con equipos de procurement es divulgar la dependencia claramente, documentar las mitigaciones (gestión ciclo-vida hardware, diversificación de cadena de suministro, secure boot y verificación firmware), y tratar la pregunta CPU como preocupación arquitectónica sectorial.

¿Cómo maneja vuestro DPA el requisito de Evaluación de Impacto de Transferencia Schrems II?

+

Schrems II y Recomendaciones EDPB 01/2020 requieren que cualquier exportador de datos usando CCT a un proveedor de tercer país ejecute un TIA y añada medidas suplementarias si es necesario. Para nuestra base de clientes esta pregunta típicamente se invierte: nuestros clientes son responsables UE, nosotros somos encargados UE, no ocurre transferencia a tercer país en operación normal, así que la pregunta TIA no se dispara.

Incluimos una plantilla TIA pre-completada en nuestro paquete DPA documentando la línea base UE-only, los flujos de datos operacionales, el análisis jurisdiccional de subprocesadores, y las medidas técnicas y contractuales en vigor. Para el caso raro de cualquier procesamiento transfronterizo, el TIA se actualiza con las medidas suplementarias adicionales — pseudonimización, cifrado con claves del cliente, división de datos — para satisfacer la prueba de proporcionalidad que el EDPB requiere.

¿Cuál es el timeline realista de migración desde un ESP USA-propiedad incumbente?

+

90-120 días end-to-end para una migración típica de escala ministerio-nacional. El desglose: 30 días para readiness de procurement y ejecución de contrato; 30 días para onboarding técnico incluyendo preparación DNS, generación claves DKIM, progresión DMARC a p=quarantine, warmup IP; 30 días para validación de parallel-run donde una porción de tráfico fluye por ambos proveedores; 30 días para corte completo, desmantelamiento del proveedor legado, y progresión DMARC final a p=reject.

Para despliegues mayores cross-ministerio (multi-agencia, multi-dominio) el timeline se extiende a 6-9 meses. El lado procurement típicamente toma más tiempo que el técnico: contratos del sector público UE sobre el umbral requieren procedimientos formales de licitación con periodos de standstill obligatorios.

¿Cómo interactúa el reporte de incidentes NIS2 con nuestros procedimientos internos de escalado?

+

NIS2 (Directiva UE 2022/2555) requiere a entidades "esenciales" e "importantes" reportar incidentes significativos a su autoridad competente nacional dentro de 24 horas (aviso temprano), 72 horas (notificación de incidente), y un mes (reporte final). Como proveedor cloud sirviendo clientes del sector público, estamos en scope como entidad importante en la mayoría de transposiciones nacionales.

El modelo de interacción: cuando ocurre un incidente en nuestra infraestructura que pueda afectar tus operaciones, notificamos a tu contacto operacional nombrado dentro de una hora durante horas laborables UE (2-3 horas fuera de horario), con el paquete de evidencia técnica estructurado para que tu equipo interno de clasificación determine si el incidente cumple tu umbral NIS2.

¿Qué pasa con workloads clasificados o de manejo restringido?

+

Para la mayoría de workloads del sector público — email cara a ciudadanos, notificaciones de Hacienda (AEAT, SAT, IMSS, BACEN), comunicaciones sanitarias, notificaciones judiciales, comunicaciones educativas — nuestra infraestructura estándar con el paquete procurement-ready es suficiente. Para workloads clasificados o formalmente de manejo restringido (UE RESTRICTED, UE CONFIDENTIAL, equivalentes nacionales como Difusión Limitada España), los requisitos escalan substancialmente y el modelo apropiado es despliegue dedicado con certificaciones miembro-estado-específicas.

Prácticamente: para UE RESTRICTED y abajo, nuestra infraestructura puede configurarse con controles adicionales para soportar el caso de uso. Para UE CONFIDENTIAL y arriba, la respuesta estándar es dirigir al organismo contratante a la nube nacional miembro-estado relevante (Bundescloud Alemania, Cloud Souverain Francia) en lugar de intentar encajar una nube comercial alineada con soberanía en un nivel de clasificación para el que no fue diseñada.

¿Cómo se ve esto para procurement del sector público LATAM?

+

El procurement del sector público LATAM crecientemente refleja el marco UE de soberanía pero con anclajes jurisdiccionales diferentes. MAAGTICSI de México establece requisitos de seguridad ICT para agencias federales; SAT (autoridad tributaria) e IMSS tienen expectativas explícitas de residencia de datos y soberanía del proveedor. LGPD de Brasil más el Marco Civil da Internet establece principios de soberanía de datos ciudadanos; la ANPD ha emitido guía específica sobre procesamiento transfronterizo de datos del sector público. Colombia bajo Ley 1581 más el Plan TIC 2026 enfatiza soberanía operacional colombiana, supervisada por la SIC.

El modelo de procurement que funciona para compradores públicos LATAM que se engagen con nosotros: el ruteo de datos permanece en nuestra infraestructura UE (que satisface la mayoría de requisitos de procesamiento transfronterizo LATAM con salvaguardas contractuales apropiadas), la cadena contractual incluye una entidad legal local LATAM para compliance VAT/IVA y procurement, y el marco de soberanía está documentado en el equivalente de los 8 objetivos UE traducidos al contexto jurisdiccional LATAM. Tenemos engagements con compradores públicos en México, Colombia y Brasil estructurados así.

Conversación procurement-ready

Cuéntanos sobre tu organismo contratante: jurisdicción, los estándares que necesitas satisfacer (Marco UE Soberanía Cloud, ENS, SecNumCloud, C5, Gaia-X, MAAGTICSI), el tier de sensibilidad del workload, el reloj de procurement. Volveremos con una propuesta dimensionada, el paquete de documentación, y el DPA pre-alineado a tu jurisdicción.