Transparencia sobre dónde corren sus datos

Alojamiento y seguridad de los datos

Alojamiento en Europa (Hetzner, Alemania): conforme al RGPD, ningún dato sale de la UE. Esta página explica en detalle dónde corren sus datos, por qué la residencia europea cumple el RGPD y cómo encaja en los requisitos del Esquema Nacional de Seguridad (ENS) para el sector público y sus proveedores, además de qué controles técnicos están implantados.

Primero, con honestidad. Reglyze NO se aloja en España. Nuestra infraestructura de producción corre en servidores físicos de Hetzner Online GmbH en el centro de datos de Falkenstein (Alemania). Preferimos decirlo aquí, en primer lugar, antes que prometer un alojamiento nacional y no cumplirlo en silencio. Cualquier auditor verificará la IP pública de api.reglyze.com por WHOIS en 30 segundos.

Dónde están sus datos

Servidores de aplicación

Hetzner Online GmbH, centro de datos en Falkenstein (Sajonia, Alemania). Servidor físico dedicado, dirección IP pública 95.216.191.129 (verificable por WHOIS).

Base de datos PostgreSQL

Coubicada en el mismo servidor de producción (Alemania). Cifrado en reposo a nivel de sistema de archivos. Aislamiento por organización mediante Row-Level Security.

Archivos subidos (políticas, evidencias)

Almacenamiento de objetos MinIO en el mismo servidor (Alemania). URLs firmadas válidas 5 minutos para la descarga, sin acceso público.

Copias de seguridad

Snapshot diario, comprimido y cifrado. Retención de 7 días en local (Hetzner Alemania) y copia espejo a Google Drive en centros de datos europeos (Google Cloud UE).

Aislamiento por organización: los datos de una entidad no se mezclan con los de otra

Reglyze es una plataforma multiorganización, pero cada organización está separada a nivel de base de datos. No hay un único almacén común donde los datos de distintas organizaciones convivan sin frontera.

  • Aislamiento por organización en PostgreSQL. Cada organización tiene su propia frontera de datos: aislamiento de esquemas reforzado con Row-Level Security (RLS), de modo que una consulta de una organización no puede leer datos de otra.
  • Pruebas automáticas antes de cada despliegue. Las pruebas de aislamiento entre tenants se ejecutan en CI y bloquean el despliegue si la frontera entre organizaciones pudiera vulnerarse.
  • Archivos subidos separados por organización. Las evidencias, las políticas y los documentos generados se direccionan con la clave de la organización, y el acceso a la descarga se hace mediante URLs firmadas de validez corta.

Por qué el alojamiento en Alemania cumple el RGPD para entidades españolas

Tanto España como Alemania son Estados miembros de la Unión Europea, así que aplican el mismo Reglamento (UE) 2016/679 (RGPD). Para el flujo de datos entre ambos países, el RGPD los trata como internos al mercado único: no surgen "transferencias a terceros países" (arts. 44 a 49) y no se requieren cláusulas contractuales tipo.

  • Autoridades de control en el mismo Comité. La AEPD (España) y la BfDI y las autoridades de protección de datos de los Länder (Alemania) participan en el Comité Europeo de Protección de Datos y aplican la misma interpretación.
  • La misma protección ante un incidente. La violación de datos personales se notifica a la AEPD (autoridad de control de la organización responsable), no a las autoridades alemanas, porque el responsable sigue estando en España.
  • Sin exposición a la CLOUD Act. Hetzner es una sociedad alemana independiente, sin capital ni filiales en Estados Unidos. No está sujeta a la CLOUD Act ni a la FISA Section 702, riesgos que persisten incluso cuando los hyperscalers estadounidenses abren regiones en España.
  • Energía totalmente renovable. Los centros de datos de Hetzner en Falkenstein se alimentan con energía renovable certificada, algo relevante para entidades públicas con criterios ambientales en sus contrataciones.

Cómo encaja el alojamiento en los requisitos del ENS

El Anexo II del ENS exige, en el marco operacional, medidas sobre los servicios externos: las exigencias de seguridad a los proveedores que dan soporte al sistema. Al usar un proveedor SaaS externo, lo incorpora a su cadena de suministro TIC, lo que significa que debe incluirlo en el análisis de riesgos y cubrirlo con las medidas adecuadas.

  • Un proveedor fácil de documentar. La IP pública, la ubicación conocida del centro de datos, el aislamiento por organización y la lista de dependencias hacen que Reglyze pueda incorporarse sin fricción al registro de proveedores y al análisis de riesgos de la cadena de suministro que exige el ENS.
  • Medidas técnicas bajo control. El cifrado en tránsito y en reposo, el registro de auditoría inalterable y la revisión de código obligatoria responden a las medidas de los marcos operacional y de protección del Anexo II.
  • Coherencia con la capa metodológica. Los controles de Reglyze se describen de modo que puedan mapearse sobre las guías CCN-STIC publicadas por el CCN.
  • La organización siempre da el último paso. Reglyze es una herramienta operativa al servicio de las obligaciones de la organización. No notifica los incidentes por usted: la notificación al CSIRT de referencia (INCIBE-CERT para el sector privado, CCN-CERT para el sector público) la presenta la persona operadora. Vea el procedimiento de notificación.

Dependencias fuera de la UE y cómo se tratan

Para ser del todo honestos: en la pila de Reglyze hay tres servicios externos que no están en la UE. Así se tratan.

Anthropic (modelo de IA Claude)

Las funciones de generación de políticas y de respuesta a cuestionarios invocan el modelo Claude a través de la API de Anthropic (Estados Unidos). Antes de cada llamada, el texto pasa por un redactor de datos personales que sustituye correos, teléfonos, NIF, IBAN y otros identificadores por marcadores. Anthropic no entrena modelos con los datos de entrada (compromiso contractual). Esta dependencia puede desactivarse por organización (interruptor REGLYZE_LLM_REMEDIATION) para clientes con requisitos jurídicos más estrictos.

Stripe (pagos)

Solo los datos estrictamente necesarios para el pago (nombre, correo de facturación, últimos cuatro dígitos de la tarjeta). Stripe Ireland Limited (Dublín, Irlanda) es encargado del tratamiento, y Stripe Inc. (EE. UU.) subencargado, sobre la base de cláusulas contractuales tipo y compromisos contractuales expresos. Ningún dato del proceso de conformidad con el ENS pasa por Stripe.

Cloudflare (protección DDoS y caché)

Cloudflare opera una infraestructura distribuida globalmente, pero el tráfico europeo se sirve desde nodos PoP en la UE (Fráncfort, Madrid, París). Solo transitan metadatos de la petición (IP, user-agent). El contenido de la aplicación viaja cifrado con TLS 1.3 de extremo a extremo hasta el servidor de Falkenstein.

Controles técnicos implantados

  • TLS 1.3 en tránsito. Cifrado de extremo a extremo entre el navegador de la persona operadora y el servidor de producción. Modo Full SSL en Cloudflare (sin retroceso a HTTP).
  • Cifrado en reposo. El sistema de archivos del servidor de producción está cifrado, y las copias de seguridad se comprimen y cifran antes de salir del servidor.
  • Aislamiento por organización. Cada organización es una entidad separada con su propia clave; las consultas SQL pasan por filtros de aplicación obligatorios y por Row-Level Security. Las pruebas de aislamiento entre tenants corren en CI antes de cada despliegue.
  • Registro de auditoría inalterable. Toda actividad relevante (cambios de alcance, generación de documentos, paquetes preparados) se registra en una tabla de solo escritura, con salvaguardas a nivel de roles de base de datos.
  • Segregación de claves de API. Los entornos de desarrollo y producción usan claves de Anthropic separadas, con rotación documentada en el runbook. El acceso al servidor de producción se hace por SSH con clave pública dedicada (sin autenticación por contraseña).
  • Revisión de código obligatoria. Todo el código que llega a producción se revisa antes de fusionar. El proceso de despliegue hace una copia de seguridad completa antes de las migraciones y un rollback automático si falla la prueba de humo.

Preguntas frecuentes

¿Dónde se alojan mis datos cuando uso Reglyze?

Todos los datos de la aplicación (base de datos, archivos subidos, registros de auditoría, copias de seguridad) se almacenan en servidores físicos de Hetzner Online GmbH en el centro de datos de Falkenstein (Alemania). La dirección IP de producción es pública (95.216.191.129) y verificable por WHOIS. Ningún dato de cliente sale del Espacio Económico Europeo.

¿Por qué Reglyze no se aloja en España?

La elección del centro de datos alemán responde a la madurez del mercado europeo de infraestructura y a la independencia del proveedor (Hetzner es un proveedor europeo independiente, sin capital estadounidense y sin exposición a la CLOUD Act). Desde el punto de vista del RGPD, la residencia en España y en Alemania es equivalente: ambos Estados aplican el mismo Reglamento (UE) 2016/679.

¿Mis datos pueden ser cedidos a autoridades de EE. UU.?

No. Hetzner es una sociedad alemana sin capital ni jurisdicción en EE. UU., por lo que no está sujeta a la CLOUD Act ni a la FISA Section 702. Reglyze no usa servicios gestionados de AWS, Google Cloud ni Azure para los datos de cliente. Las únicas dependencias fuera de la UE son Anthropic (con redacción de datos personales antes del envío) y Stripe (solo para pagos, bajo cláusulas contractuales tipo).

¿Cómo encaja el alojamiento de Reglyze en los requisitos del ENS sobre servicios externos?

El marco operacional del Anexo II del ENS incluye los servicios externos: las exigencias de seguridad a los proveedores que dan soporte al sistema. Un proveedor SaaS como Reglyze forma parte de la cadena de suministro TIC, de modo que debe incluirse en el análisis de riesgos. El alojamiento en la UE, la conformidad con el RGPD y los controles documentados facilitan incorporar a Reglyze al registro de proveedores y preparar la documentación para la conformidad con el ENS.

¿Cómo funciona el aislamiento entre organizaciones (por tenant)?

Cada organización es una entidad separada con aislamiento por tenant a nivel de PostgreSQL: aislamiento de esquemas reforzado con Row-Level Security (RLS), de modo que una consulta de una organización no puede leer datos de otra. Las pruebas automáticas de aislamiento entre tenants se ejecutan en CI antes de cada despliegue.

¿Puedo obtener un contrato de encargo del tratamiento firmado antes de suscribirme?

Sí. El contrato de encargo del tratamiento cumple el artículo 28 del RGPD y está disponible en español e inglés. Para los clientes de los planes Pro y MSP se firma por correo; las entidades públicas pueden solicitar una versión adaptada al procedimiento de contratación pública. Contacto: [email protected].

Empiece sin renunciar a la residencia de los datos

Reglyze nació pensando en las organizaciones europeas. Empiece por el diagnóstico gratuito de 2 minutos: sin tarjeta de crédito y sin datos que salgan de la UE.