El catálogo de criterios C3A aborda la dimensión de soberanía de los servicios cloud — desde la soberanía de datos y la jurisdicción UE hasta la estrategia de exit y el control de claves. Hacemos que su uso cloud sea demostrablemente soberano — tanto en hyperscalers como en infraestructura europea.
UECriterios de soberanía más allá de US CLOUD Act y FISA 702
KRITISMayores requisitos para uso cloud en sectores regulados
Gaia-XCompatible con iniciativas europeas de soberanía
6
dimensiones
UE
jurisdicción sin acceso de terceros países
BYOK
control de claves en el cliente
0
lock-in gracias a estándares abiertos
Las 6 dimensiones
La soberanía es más que solo una ubicación de datos.
Seis dimensiones deciden si un uso cloud es realmente soberano — o si «sovereign» solo queda como un término de marketing. Cada dimensión tiene sus propios criterios de auditoría, evidencias y preguntas de escalado.
01
Soberanía de datos
¿Quién controla los datos — y dónde están?
Localización en la UE, cifrado integral at-rest y in-transit, control de claves en el cliente (BYOK / HYOK), flujos de datos trazables y evidencias de borrado. El control no termina en el proveedor, sino en la gestión de claves.
Ubicación de datos UE / DACH (contractual, no solo técnica)
BYOK / HYOK · gestión externa de claves
Cifrado de extremo a extremo, también durante el procesamiento
Flujos de datos, listas de subprocessors, evidencias de borrado
02
Soberanía operativa
¿Quién opera — y quién tiene acceso administrativo?
Dirección de la operación por equipos europeos, separación clara de roles de administración, procesos de emergencia y escalado documentados. «Sovereign cloud» no empieza en la etiqueta de marketing, sino en el modelo de Privileged Access.
Privileged Access solo por personal UE/EEE
Acceso just-in-time, totalmente registrado
Principio de cuatro ojos operativo para actuaciones admin
Procesos de emergencia y recuperación bajo control UE
03
Soberanía tecnológica
Estándares abiertos, portabilidad, sin vendor lock-in.
Interfaces abiertas, APIs documentadas, formatos de contenedor y de datos que hacen realista un cambio de proveedor. Soberanía no significa «salir del cloud» — sino: poder migrar en cualquier momento, técnica y comercialmente.
Formatos de datos estandarizados (Parquet, OpenAPI, OSCAL)
Builds reproducibles, Infrastructure-as-Code
Pruebas de exit como parte de la rutina operativa
04
Soberanía jurídica
Jurisdicción UE — sin acceso extraterritorial.
Relación contractual con una entidad UE, jurisdicción UE exclusiva, sin acceso a datos vía US CLOUD Act, FISA 702 o regulaciones de terceros países comparables. Aborda las consecuencias de Schrems II y los requisitos sectoriales de supervisión.
Socio contractual con sede y tributación en la UE
Sin grupo corporativo con reachback de tercer país
Transfer Impact Assessment (TIA) conforme con Schrems II
Requisitos de supervisión BaFin · BSI · BNetzA cumplibles
05
Soberanía económica
Estrategia de exit, elección de proveedor, control de costes.
La dependencia económica es la forma más invisible de lock-in. Caminos de exit claros, modelos de coste sin riesgos FX, opciones multi-cloud y un plan B documentado evitan que la migración sea imposible por razones económicas.
Estrategia de exit documentada incl. plan de coste y tiempo
Multi-cloud / multi-región como principio de diseño
Modelo de coste en EUR · sin trampas de egress ocultas
Proveedores locales / europeos en la selección
06
Soberanía estratégica
Derechos de auditoría, transparencia, evidencia de confianza.
Derechos de auditoría completos (a petición por terceros), cadenas de subprocessors transparentes, arquitectura de seguridad demostrable — respaldada por atestación C5, ISO 27001, ISO 27017/27018 y criterios C3A complementarios. La confianza es demostrable, no afirmada.
Derechos de auditoría anclados contractualmente (right-to-audit)
BSI C5 Tipo 2 + evidencias C3A complementarias
Lista de subprocessors y ubicaciones transparente
Reporting Threat-Intelligence e Incident a los clientes
Procedimiento
De la comparación objetivo/real a un modelo de soberanía demostrable.
Seis pasos — modular, basado en documentación y alineado con la madurez de su estrategia cloud.
01
Inventario
Capturar workloads cloud, categorías de datos, situación contractual y evidencias existentes (C5, 27001, TISAX).
02
Evaluación C3A
Comparación objetivo/real frente a las 6 dimensiones — por servicio, por categoría de datos, por obligación regulatoria.
03
Plan de medidas
Plan priorizado: endurecimiento técnico, gestión de claves, cambios contractuales, cambio de proveedor.
04
Implementación
Introducir BYOK/HYOK, mover o reflejar workloads, endurecer el modelo de Privileged Access.
05
Estructura de evidencia
Construir el paquete de auditoría: TIA, lista de subprocessors, plan de exit, dashboard de KPIs, pruebas periódicas.
06
Monitorización
Evaluación continua, auditorías de surveillance, re-assessment ante cambios en el proveedor o en la ley.
Para quién es relevante
Quién necesita C3A ahora.
La soberanía ya no es un nice-to-have. Estos sectores notan la presión primero — por supervisión, cadenas de suministro o demandas de cliente.
Sector público y KRITIS
Autoridades federales, regionales y municipales así como operadores KRITIS que deben adquirir servicios cloud con soberanía demostrable — más allá de C5.
→ Iniciar evaluación C3A
Servicios financieros
Bancos, aseguradoras y asset managers bajo supervisión BaFin (KAIT/VAIT/BAIT), DORA y regulación de terceros TIC.
→ Hacerse apto para supervisión
Sanidad e investigación
Clínicas, instituciones de investigación y empresas farmacéuticas con datos especialmente sensibles y crecientes requisitos UE (EHDS, RGPD).
→ Asegurar la soberanía de datos
Pymes industriales DACH
Fabricación, ingeniería, automotive — protección de la PI, datos de diseño y conocimiento de producción frente al acceso de terceros países.
→ Estructurar la protección de la PI
FAQ
Preguntas frecuentes sobre BSI C3A.
¿Qué es BSI C3A — y en qué se diferencia del C5?
C3A (Cloud Computing Compliance Criteria Catalogue — Autonomía) aborda la dimensión de soberanía de los servicios cloud y complementa así el C5 enfocado en seguridad de la información. Mientras que C5 audita «cuán seguro» se opera un cloud, C3A añade «cuán soberano»: soberanía de datos, jurisdicción, modelo operativo, capacidad de exit. Ambos catálogos son complementarios — recomendamos un programa de auditoría integrado.
¿Cuál de las 6 dimensiones es en la práctica más difícil de cumplir?
Por experiencia la soberanía jurídica y la estratégica — ambas se rompen al examinarlas con detalle por estructuras de grupo, cláusulas contractuales tipo y falta de derechos de auditoría. La soberanía tecnológica y operativa, en cambio, es bien manejable con las decisiones de tooling y arquitectura adecuadas.
¿Tenemos que abandonar los hyperscalers de EE. UU. para ser soberanos?
No necesariamente. Varios hyperscalers ofrecen constelaciones de sovereign-cloud europeas con operador UE, BYOK/HYOK y exclusión de terceros países contractualmente endurecida. Lo decisivo es la arquitectura demostrable, no el logo. C3A entrega la rejilla de evaluación que permite distinguir la soberanía de marketing de la soberanía real.
¿Cuánto dura una evaluación C3A?
Una evaluación inicial para 5–15 servicios cloud centrales suele tomar 4–8 semanas, según la documentación existente. A continuación siguen la fase de medidas y la construcción de la estructura de evidencia, que toma 6–12 meses según la madurez.
¿Cómo se relaciona C3A con Gaia-X y EU CoC?
C3A es compatible: las Gaia-X Self-Descriptions cubren gran parte de la soberanía técnica y operativa, el EU Cloud Code of Conduct aborda la capa RGPD. C3A agrupa estos bloques en un modelo de 6 dimensiones auditable y los amplía con la soberanía estratégica (derechos de auditoría, control de claves, pruebas de exit).
¿Quién audita C3A — y cómo se aporta la evidencia?
La auditoría se realiza de forma análoga al C5 por auditores financieros independientes según ISAE 3000 (revised) o IDW PS 860 — sobre la base de la descripción del sistema del proveedor cloud. Acompañamos a los proveedores en la construcción y a los operadores en la solicitud de evidencia frente a sus prestadores cloud.
¡Proteja su empresa ahora!
Contáctenos para una asesoría individual y una solución de seguridad ajustada a sus necesidades.
