Cómo evaluar la propiedad de datos al comprar software

sSystm Team6 min de lectura
TL;DR

Propiedad de datos significa cinco preguntas antes de comprar: dónde viven los datos activos, quién tiene las claves, qué jurisdicción aplica, qué pasa al salir, ¿puede el proveedor acceder en silencio? La mayoría responde con políticas, no arquitectura. Úsalas como criterios pass/fail — para saber si tus datos de cliente son tuyos o en préstamo.

Antes de firmar un contrato de software de agencia, pregunta dónde viven tus datos, quién puede acceder y qué obtienes si el proveedor desaparece. La mayoría de evaluaciones cubren funciones, precio e integraciones. Pocas cubren propiedad — porque los proveedores son buenos diciendo « tus datos son tuyos » mientras arquitectónicamente los mantienen en una base central que solo ellos controlan.

Esta publicación te da una checklist de cinco preguntas que convierte el marketing en criterios de aprobación/rechazo, para saber qué compras realmente.

Por qué la propiedad importa más para las agencias

Un minorista que pierde acceso a datos de inventario, duele. Una agencia que pierde acceso a datos de clientes, es existencial — porque los datos no son solo operativos, son el historial relacional que tus clientes confían que mantengas.

Las agencias guardan:

  • Datos de contacto e historial de comunicación
  • Contratos, briefs y entregables aprobados
  • Registros financieros — facturas, tarifas, historial de pagos
  • Cronogramas de proyecto, decisiones y aprobaciones
  • A veces credenciales, activos de marca y trabajo no publicado

Si algo de eso está bloqueado dentro de la infraestructura de un proveedor sin ruta de acceso independiente, no lo posees en ningún sentido práctico. Lo alquilas.

La checklist de cinco preguntas

1. ¿Dónde vive la base activa?

Es la pregunta más importante, y la que los proveedores menos quieren responder con precisión.

Respuesta que oyes Qué significa realmente ¿Pasa?
« Alojamos en AWS en eu-west-1 » Su base, su cuenta, sus servidores ⚠️ Solo residencia
« Tus datos se almacenan de forma segura en nuestra nube » Base multi-tenant central, infraestructura compartida
« Usamos hosting certificado SOC 2 » Cumplimiento del host, no de tu acceso ⚠️
« Una base dedicada se aprovisiona en tu cuenta en la nube » Tu base, tu cuenta, tu región

Qué preguntar: « ¿La base de producción está en tu cuenta en la nube o en la mía? »

Si la respuesta es la suya, tienes como máximo residencia — no propiedad. Tus datos son un inquilino en su edificio. Ellos tienen las llaves de la puerta principal.

sSystm aprovisiona una base D1 dedicada en tu cuenta de Cloudflare al registrarte. La respuesta a la pregunta uno es verificable: puedes ver la base en tu propio panel de Cloudflare.

2. ¿Quién tiene las claves de cifrado?

El cifrado no significa nada si solo el proveedor puede descifrar.

Qué preguntar: « ¿Puedo acceder a la base directamente con mis propias credenciales, independientemente de tu plataforma? »

  • Si sí: puedes verificar, respaldar y consultar tus datos sin pedir permiso
  • Si no: el proveedor puede leer todo, y también quien los comprometa

Es la diferencia entre « cifrado en reposo » como casilla y un cifrado que realmente te protege.

3. ¿Qué jurisdicción rige los datos?

Para agencias de la UE y agencias con clientes de la UE, no es opcional.

Qué preguntar: « ¿Puedo elegir la región donde se crea la base, y esa elección se aplica a nivel de infraestructura? »

Respuesta Riesgo
« Cumplimos RGPD » Una afirmación de política — pregunta qué lo aplica
« Procesamos datos en la UE » Procesamiento ≠ almacenamiento; subencargados pueden estar en otro sitio
« Seleccionas tu región al registrarte; la base se crea ahí » Garantía arquitectónica

« Cumplimos RGPD » no responde a « dónde están los datos ». Cumplimiento RGPD y residencia de datos están relacionados pero no son lo mismo. Residencia aplicada por arquitectura — la base se crea en la región elegida — es más fuerte que residencia prometida en un DPA.

4. ¿Qué pasa al salir?

Es la pregunta que nadie hace hasta que la necesita.

Qué preguntar: « Si terminamos el contrato mañana, ¿a qué tenemos acceso, durante cuánto tiempo y en qué formato? »

Respuesta Qué esperar
« Puedes exportar tus datos en cualquier momento » Archivos CSV/JSON; las relaciones pueden no sobrevivir
« Ofrecemos 30 días para exportar tras la terminación » Una cuenta atrás; esperar que la exportación sea completa
« Tu base permanece en tu cuenta en la nube » No hace falta exportar; cambia de software, conserva los datos

La tercera respuesta solo aplica a arquitecturas BYOC o self-hosted. Cualquier otra significa que planeas una migración bajo presión.

Si el proveedor cierra por completo, la pregunta de salida se vuelve urgente — y la calidad de la ventana de exportación determina si reconstruyes o continúas.

5. ¿Puede el proveedor acceder a tus datos sin tu conocimiento?

Qué preguntar: « ¿En qué circunstancias accede tu equipo a datos de clientes, y ese acceso queda registrado y es auditable? »

Respuestas razonables: solicitudes de soporte que inicias tú, incidentes de seguridad con notificación, requisitos legales con aviso. Respuestas irrazonables: « podemos acceder a datos para mejorar nuestro producto » sin especificar anonimización, o sin rastro de auditoría.

Para agencias que manejan datos de clientes, esta pregunta se extiende a tus propios clientes: si un cliente pregunta « quién puede ver nuestros archivos », necesitas una respuesta mejor que « los empleados de nuestro proveedor SaaS, según su política ».

Señales de alarma en la conversación comercial

Aléjate o escala a revisión legal si oyes:

  • « Posees tus datos » sin especificar dónde viven o cómo accedes
  • « Podemos migrarte más tarde » — la migración siempre es más difícil de lo prometido
  • « La exportación está disponible vía nuestra API » — las API cambian, se deprecian y cierran
  • « Confía en nosotros, estamos certificados SOC 2 » — la certificación trata del proceso, no de tus derechos de acceso
  • « Todos nuestros clientes están en la misma infraestructura » — multi-tenant por definición

Señales positivas

  • Base aprovisionada en tu cuenta en la nube
  • Selección de región al registrarte, aplicada a nivel de infraestructura
  • Acceso directo a la base con tus credenciales
  • DPA que te nombra responsable y lista subencargados
  • Salida sin carrera de exportación

Cómo usar esta checklist en la práctica

Antes de tu próxima demo, envía las cinco preguntas por escrito. Los proveedores que pueden responder concretamente lo harán. Los que responden con PDFs de marketing te dicen que la arquitectura no soporta propiedad.

Puntúa cada candidato:

Pregunta Proveedor A Proveedor B sSystm (BYOC)
¿Dónde está la base? Su AWS Su AWS Tu cuenta Cloudflare
¿Quién tiene las claves? Proveedor Proveedor
¿Jurisdicción? « Procesamiento UE » Región UE seleccionable Región elegida al registrarte
¿Salida? Exportación CSV 30 días Exportación API Base permanece en tu cuenta
¿Acceso proveedor? « Según necesidad » Registrado, bajo solicitud Tu infraestructura

No buscas perfección. Buscas si la arquitectura del proveedor coincide con sus afirmaciones de propiedad — o si « tus datos son tuyos » es una ficción legal.

La propiedad es una decisión arquitectónica

Las funciones se añaden. Los precios se negocian. Las integraciones se construyen. La arquitectura de datos no se puede retrofitear. La elección de si los datos de clientes de tu agencia viven en tu cuenta en la nube o en la base central de un proveedor se hace al registrarte y rara vez cambia sin una migración completa.

sSystm está construido sobre BYOC porque las agencias no deberían tener que descifrar marketing para saber si sus datos de cliente son realmente suyos. La checklist de arriba debería tomar cinco minutos — y las respuestas deberían ser verificables en tu panel de la nube, no en una nota al pie.


Relacionado: ¿Qué es un agency OS BYOC? · Residencia de datos y RGPD para agencias · Bloqueo de proveedor SaaS

Preguntas frecuentes

¿Quién posee los datos en una aplicación SaaS?

Legalmente, a menudo conservas la propiedad del contenido que subes — pero el proveedor controla dónde se almacena, cómo se accede y si puedes exportarlo. « Tus datos son tuyos » en términos de servicio no significa que puedas alcanzarlos de forma independiente. La verdadera propiedad significa que tienes la base, las claves y la capacidad de acceder a tus registros sin permiso del proveedor.

¿Qué preguntas hacer sobre propiedad de datos antes de comprar software de agencia?

Cinco esenciales: (1) ¿Dónde reside físicamente la base activa? (2) ¿Quién tiene las claves de cifrado? (3) ¿Qué jurisdicción rige los datos? (4) ¿Qué pasa con tus datos si te vas o el proveedor cierra? (5) ¿Puede el proveedor acceder a tus datos sin tu conocimiento? Si alguna respuesta es vaga, asume que el proveedor controla los datos.

¿Cuál es la diferencia entre residencia y propiedad de datos?

La residencia de datos trata de geografía — dónde están los servidores. La propiedad de datos trata de control — quién tiene la base, las copias de seguridad y las claves. Un proveedor puede alojar en la UE (residencia) y aun así mantener tus datos en su base multi-tenant central a la que no accedes directamente (sin propiedad). Residencia sin propiedad es una promesa de política; propiedad es un hecho arquitectónico.

¿Cómo debe ser un buen acuerdo de tratamiento de datos para agencias?

Debe especificar el responsable del tratamiento (tú), el encargado (el proveedor), los subencargados, la jurisdicción, plazos de notificación de brechas y tu derecho a auditar o exportar. Para agencias que manejan datos de clientes, también debe aclarar qué pasa con los registros de clientes cuando termina tu relación con el proveedor — no solo los datos de tu propia cuenta.

¿Cómo afecta BYOC la evaluación de propiedad de datos?

BYOC (Bring Your Own Cloud) cambia la respuesta a cada pregunta de la checklist. La base se aprovisiona en tu cuenta en la nube, eliges la región, tienes las credenciales de acceso y salir del proveedor no requiere exportación — los datos ya están en tu infraestructura. La evaluación pasa a verificar la arquitectura, no analizar lenguaje de marketing.

byocdata-ownershipgdpragency-os

sSystm es el primer OS de agencia BYOC — tus clientes, tu código y tu nube en tu propia cuenta de Cloudflare, con tu IA trabajando en todo el espacio de trabajo a través de MCP.

Unirse a la lista de espera