Transparencia sobre dónde corren sus datos
Alojamiento en Europa (Hetzner, Alemania): conforme al RGPD, ningún dato sale de la UE. Esta página explica en detalle dónde corren sus datos, por qué la residencia europea cumple el RGPD y cómo encaja en los requisitos del Esquema Nacional de Seguridad (ENS) para el sector público y sus proveedores, además de qué controles técnicos están implantados.
Primero, con honestidad. Reglyze NO se aloja en España. Nuestra infraestructura de producción corre en servidores físicos de Hetzner Online GmbH en el centro de datos de Falkenstein (Alemania). Preferimos decirlo aquí, en primer lugar, antes que prometer un alojamiento nacional y no cumplirlo en silencio. Cualquier auditor verificará la IP pública de api.reglyze.com por WHOIS en 30 segundos.
Servidores de aplicación
Hetzner Online GmbH, centro de datos en Falkenstein (Sajonia, Alemania). Servidor físico dedicado, dirección IP pública 95.216.191.129 (verificable por WHOIS).
Base de datos PostgreSQL
Coubicada en el mismo servidor de producción (Alemania). Cifrado en reposo a nivel de sistema de archivos. Aislamiento por organización mediante Row-Level Security.
Archivos subidos (políticas, evidencias)
Almacenamiento de objetos MinIO en el mismo servidor (Alemania). URLs firmadas válidas 5 minutos para la descarga, sin acceso público.
Copias de seguridad
Snapshot diario, comprimido y cifrado. Retención de 7 días en local (Hetzner Alemania) y copia espejo a Google Drive en centros de datos europeos (Google Cloud UE).
Reglyze es una plataforma multiorganización, pero cada organización está separada a nivel de base de datos. No hay un único almacén común donde los datos de distintas organizaciones convivan sin frontera.
Tanto España como Alemania son Estados miembros de la Unión Europea, así que aplican el mismo Reglamento (UE) 2016/679 (RGPD). Para el flujo de datos entre ambos países, el RGPD los trata como internos al mercado único: no surgen "transferencias a terceros países" (arts. 44 a 49) y no se requieren cláusulas contractuales tipo.
El Anexo II del ENS exige, en el marco operacional, medidas sobre los servicios externos: las exigencias de seguridad a los proveedores que dan soporte al sistema. Al usar un proveedor SaaS externo, lo incorpora a su cadena de suministro TIC, lo que significa que debe incluirlo en el análisis de riesgos y cubrirlo con las medidas adecuadas.
Para ser del todo honestos: en la pila de Reglyze hay tres servicios externos que no están en la UE. Así se tratan.
Anthropic (modelo de IA Claude)
Las funciones de generación de políticas y de respuesta a cuestionarios invocan el modelo Claude a través de la API de Anthropic (Estados Unidos). Antes de cada llamada, el texto pasa por un redactor de datos personales que sustituye correos, teléfonos, NIF, IBAN y otros identificadores por marcadores. Anthropic no entrena modelos con los datos de entrada (compromiso contractual). Esta dependencia puede desactivarse por organización (interruptor REGLYZE_LLM_REMEDIATION) para clientes con requisitos jurídicos más estrictos.
Stripe (pagos)
Solo los datos estrictamente necesarios para el pago (nombre, correo de facturación, últimos cuatro dígitos de la tarjeta). Stripe Ireland Limited (Dublín, Irlanda) es encargado del tratamiento, y Stripe Inc. (EE. UU.) subencargado, sobre la base de cláusulas contractuales tipo y compromisos contractuales expresos. Ningún dato del proceso de conformidad con el ENS pasa por Stripe.
Cloudflare (protección DDoS y caché)
Cloudflare opera una infraestructura distribuida globalmente, pero el tráfico europeo se sirve desde nodos PoP en la UE (Fráncfort, Madrid, París). Solo transitan metadatos de la petición (IP, user-agent). El contenido de la aplicación viaja cifrado con TLS 1.3 de extremo a extremo hasta el servidor de Falkenstein.
Todos los datos de la aplicación (base de datos, archivos subidos, registros de auditoría, copias de seguridad) se almacenan en servidores físicos de Hetzner Online GmbH en el centro de datos de Falkenstein (Alemania). La dirección IP de producción es pública (95.216.191.129) y verificable por WHOIS. Ningún dato de cliente sale del Espacio Económico Europeo.
La elección del centro de datos alemán responde a la madurez del mercado europeo de infraestructura y a la independencia del proveedor (Hetzner es un proveedor europeo independiente, sin capital estadounidense y sin exposición a la CLOUD Act). Desde el punto de vista del RGPD, la residencia en España y en Alemania es equivalente: ambos Estados aplican el mismo Reglamento (UE) 2016/679.
No. Hetzner es una sociedad alemana sin capital ni jurisdicción en EE. UU., por lo que no está sujeta a la CLOUD Act ni a la FISA Section 702. Reglyze no usa servicios gestionados de AWS, Google Cloud ni Azure para los datos de cliente. Las únicas dependencias fuera de la UE son Anthropic (con redacción de datos personales antes del envío) y Stripe (solo para pagos, bajo cláusulas contractuales tipo).
El marco operacional del Anexo II del ENS incluye los servicios externos: las exigencias de seguridad a los proveedores que dan soporte al sistema. Un proveedor SaaS como Reglyze forma parte de la cadena de suministro TIC, de modo que debe incluirse en el análisis de riesgos. El alojamiento en la UE, la conformidad con el RGPD y los controles documentados facilitan incorporar a Reglyze al registro de proveedores y preparar la documentación para la conformidad con el ENS.
Cada organización es una entidad separada con aislamiento por tenant a nivel de PostgreSQL: aislamiento de esquemas reforzado con Row-Level Security (RLS), de modo que una consulta de una organización no puede leer datos de otra. Las pruebas automáticas de aislamiento entre tenants se ejecutan en CI antes de cada despliegue.
Sí. El contrato de encargo del tratamiento cumple el artículo 28 del RGPD y está disponible en español e inglés. Para los clientes de los planes Pro y MSP se firma por correo; las entidades públicas pueden solicitar una versión adaptada al procedimiento de contratación pública. Contacto: [email protected].
Medidas de seguridad del ENS
Las 73 medidas del Anexo II en tres marcos y cómo implantarlas.
¿Quién debe cumplir el ENS?
Compruebe si está dentro del ámbito y cómo se categoriza cada sistema, junto con su exposición al RGPD.
Notificación de incidentes
Cómo la organización presenta la notificación al CSIRT de referencia (INCIBE-CERT y CCN-CERT).
Diagnóstico gratuito (2 min)
Confirme en 2 minutos si le alcanza el ENS y en qué categoría, sin tarjeta de crédito.