KIMISUITE Team

¿Quién puede acceder a los datos de tu empresa?

Cuando las empresas evalúan software, suelen comparar funciones. Muchas menos se hacen la pregunta que más importa: ¿quién puede acceder realmente a los datos de nuestra empresa y cuándo?

¿Quién puede acceder a los datos de tu empresa?

La confianza empieza mucho antes de subir tu primer archivo

Cuando las empresas evalúan software, suelen comparar funciones. ¿Puede gestionar clientes? ¿Puede crear facturas? ¿Admite reservas? ¿Incluye IA?

Todas son preguntas importantes.

Pero hay otra pregunta igual de importante, y muchas menos empresas la hacen.

¿Quién puede acceder realmente a los datos de nuestra empresa?

La respuesta suele ser más compleja de lo que la mayoría espera.

Tu software es más que una aplicación

Cuando inicias sesión en una plataforma empresarial, puede parecer una sola aplicación. Entre bastidores, el mismo producto suele estar construido con muchos servicios separados que se comunican entre sí.

Cada uno de esos servicios representa un posible punto de acceso. Cada uno puede ser operado por tu proveedor, por un tercero que use tu proveedor o, a veces, mediante integraciones que autorizaste, por un tercero que elegiste tú mismo.

El número total de personas y sistemas con acceso teórico suele ser mayor de lo que las empresas suponen.

Las tres capas de acceso

Conviene pensar en el acceso en tres capas.

La primera capa sois tú y tu equipo. Tú decides quién es invitado a tu espacio de trabajo, qué rol tiene y qué puede ver.

La segunda capa es el personal del proveedor. Un pequeño número de ingenieros de operaciones suele tener la capacidad de acceder a la infraestructura para mantenimiento, soporte y respuesta ante incidentes. Los proveedores de confianza limitan quién puede hacerlo, registran cada acción y exigen un motivo explícito.

La tercera capa es todos los demás. Subencargados del tratamiento. Integraciones. Firmas de auditoría. Operadores de copias de seguridad. Cualquier parte de la cadena operativa que pueda tener contacto indirecto con la infraestructura.

Es la tercera capa la que la mayoría de las empresas subestima.

Cómo aborda KIMISUITE el acceso

Diseñamos KIMISUITE para que la tercera capa sea intencionadamente pequeña.

La mayoría de los componentes principales de la plataforma son operados por nuestro propio equipo. No externalizamos nuestra atención al cliente a otra empresa. No canalizamos la analítica operativa a través de una plataforma de observabilidad de terceros. No permitimos que las redes publicitarias vean lo que ocurre dentro de los espacios de trabajo.

No hay seguimiento del comportamiento en los espacios de trabajo para segmentación publicitaria. No hay reventa de información de clientes. No existe ninguna "asociación de datos" con ninguna otra empresa SaaS.

Cuanto más pequeña es la tercera capa, menor es la superficie para un uso indebido, accidental o no.

Lo que no hacemos con tus datos

A veces esta es la lista más útil.

No vendemos datos empresariales. No permitimos que redes publicitarias de terceros elaboren perfiles de tu equipo. No entrenamos sistemas de IA externos con el contenido privado de tu espacio de trabajo. No agrupamos tus datos en productos de investigación de mercado. No compartimos tu información con empresas hermanas ni con filiales de una sociedad matriz (KIMISUITE LTD opera de forma independiente).

Ninguna de estas afirmaciones es ingeniosa. Son simplemente decisiones que tomamos y que seguimos tomando cada vez que un nuevo modelo de negocio nos tienta a replantearlas.

Lo que realmente requiere el acceso

Cuando un miembro de nuestro equipo de operaciones necesita acceder a la infraestructura, la solicitud debe estar justificada, registrada y ser proporcionada. El acceso a cualquier elemento que contenga datos de clientes se reserva para escenarios operativos claramente definidos; por ejemplo, restaurar el servicio durante un incidente o atender una solicitud documentada de un interesado.

No es algo casual ni rutinario. Un proveedor que te dice que su personal "tiene acceso a tus datos para poder ofrecerte un gran soporte" está siendo más honesto que la mayoría, pero un proveedor cuyo personal revisa habitualmente el contenido de los clientes está tomando un atajo estructural.

Nosotros elegimos el camino más largo.

El papel de las integraciones

Las integraciones importan. También son una decisión deliberada que tomas como cliente.

Cuando conectas una herramienta de terceros a KIMISUITE, ya sea para procesar pagos, sincronizar calendarios o cualquier otro fin, esa herramienta obtiene acceso al alcance de datos que autorices. No más.

Hacemos visibles esos alcances. Los documentamos. Y si alguna vez revocas una integración, se elimina el acceso de la herramienta de terceros.

Sigues teniendo el control de lo que sale de tu espacio de trabajo.

Por qué importa la arquitectura

No puedes resolver las cuestiones de confianza añadiendo un párrafo a una política de privacidad.

La respuesta fundamental a "¿quién puede acceder a los datos de nuestra empresa?" viene determinada por la arquitectura de la plataforma, no por el lenguaje de los documentos legales.

Una plataforma construida sobre veinte servicios externos tiene una superficie de acceso distinta a la de una plataforma desarrollada principalmente de forma interna. Una plataforma que vende datos para segmentación tiene una realidad de acceso distinta a la de una que no lo hace.

La arquitectura crea los límites; la política los describe.

Reflexión final

La próxima vez que evalúes software empresarial, haz tres preguntas.

¿Quién, exactamente, puede acceder a nuestros datos? ¿Cómo se registra ese acceso? ¿Cuál es el conjunto más pequeño de personas y sistemas que podría ver lo que introducimos en esta plataforma?

Si las respuestas son claras, específicas y breves, estás ante un proveedor que se toma la confianza tan en serio como las funciones.

Creemos que ese es el único tipo de proveedor que una empresa debería considerar.


Sigue leyendo la serie sobre confianza:

← Anterior: Los datos de tu empresa no deberían pasar por 20 empresas distintas
→ Siguiente: Privacidad por arquitectura, no solo por política

Empieza tu prueba gratuita de 14 días · Ver precios de KIMISUITE