Glosario · Nube soberana de la UE SecNumCloud (ANSSI Cloud Computing Security Qualification)
Cualificación para servicios cloud de la agencia nacional francesa de ciberseguridad (ANSSI). Combina una base de seguridad de alta garantía con requisitos de soberanía (inmunidad frente al derecho de fuera de la UE). Base técnica del sello Cloud de Confiance.
## Qué es realmente SecNumCloud
SecNumCloud es la cualificación de seguridad para cloud computing emitida por la **ANSSI** (Agence nationale de la sécurité des systèmes d'information), la agencia nacional francesa de ciberseguridad. La versión actual, **SecNumCloud 3.2**, se publicó en 2022 y endureció notablemente los criterios anteriores de soberanía.
SecNumCloud actúa como base técnica del sello más amplio [Cloud de Confiance](/es/glossary/cloud-de-confiance/). Mientras Cloud de Confiance es el marco político más amplio, SecNumCloud es la cualificación técnica específica.
## Qué exige SecNumCloud
SecNumCloud 3.2 impone alrededor de **300 controles de seguridad** en múltiples dominios, entre ellos:
### Seguridad técnica
- Controles criptográficos (algoritmos alineados con FIPS, gestión de claves bajo control UE)
- Segmentación de red y aislamiento de tráfico
- Registro de auditoría y detección de incidentes
- Gestión de vulnerabilidades y parcheo
- Copias de seguridad y recuperación ante desastres
### Seguridad operativa
- Verificación del personal con acceso administrativo (debe ser residente en la UE)
- Seguridad física de los centros de datos
- Procedimientos operativos con gestión formal del cambio
- Seguridad de la cadena de suministro
### Soberanía (el elemento diferenciador)
SecNumCloud 3.2 introdujo requisitos explícitos de soberanía que lo distinguen de estándares internacionales como ISO 27001:
- **Sin exposición a derecho extraterritorial**: el proveedor debe ser estructuralmente inmune al derecho de fuera de la UE, incluida la [CLOUD Act](/es/glossary/cloud-act/) y FISA 702
- **Estructura corporativa controlada en la UE**: propiedad mayoritariamente europea; sin matriz extranjera con control efectivo
- **Residencia de datos en la UE**: los datos del cliente y los metadatos deben permanecer en la UE
- **Personal UE**: el personal con acceso administrativo debe residir en la UE y estar sujeto al derecho de la UE
Los requisitos de soberanía son la razón por la que la mayoría de los hyperscalers estadounidenses solo pueden alcanzar SecNumCloud mediante joint ventures con empresas francesas (S3NS, Bleu).
## Cómo funcionan las auditorías SecNumCloud
El proceso de cualificación incluye:
1. **Solicitud** ante la ANSSI
2. **Auditoría por un laboratorio de evaluación Common Criteria cualificado por la ANSSI** (Centre d'évaluation de la sécurité des technologies de l'information, CESTI)
3. **Revisión técnica** por la ANSSI
4. **Concesión de la cualificación** si se cumplen los criterios
5. **Recertificación periódica** (normalmente cada 3 años)
La auditoría es extensa y costosa: típicamente de 12 a 18 meses y varios cientos de miles de euros para un proveedor creíble. Esa barrera asegura que solo la obtengan actores serios de la nube soberana.
## Proveedores actualmente cualificados (selección)
A 2026, entre los proveedores con cualificación SecNumCloud 3.2 figuran:
- **OVHcloud** (ofertas concretas)
- **Outscale** (Dassault Systèmes)
- **S3NS** (tecnología Google Cloud bajo control de Thales)
- **Bleu** (tecnología Microsoft Azure de Capgemini/Orange, en proceso de cualificación)
- **Numspot** (JV de Docaposte/Bouygues/Dassault/Banque des Territoires)
- **Worldline** (ofertas concretas)
- Diversos proveedores especializados más pequeños
La lista es deliberadamente reducida: SecNumCloud se posiciona como una señal de alta garantía, no como una certificación de uso común.
## Por qué importa SecNumCloud
### 1. La referencia para la soberanía cloud
SecNumCloud 3.2 fijó la referencia técnica y estructural de lo que significa una soberanía cloud 'real'. Otros esquemas nacionales europeos (BSI C5, ACN italiano, ENS español) convergen cada vez más hacia modelos similares.
### 2. Puerta de entrada a la contratación pública
La 'doctrine cloud au centre' francesa (doctrina cloud-first) obliga a usar cloud cualificado SecNumCloud para cargas sensibles del sector público. Se trata de una cartera de contratación pública de varios miles de millones de euros.
### 3. Operadores de servicios esenciales (NIS2)
Los operadores de servicios esenciales en Francia bajo [NIS2](/es/glossary/nis2/) recurren cada vez más a SecNumCloud como vía canónica para demostrar seguridad cloud. Las orientaciones de la ANSSI bajo NIS2 remiten directamente a SecNumCloud.
### 4. El patrón para EUCS High
El nivel 'High' del cuestionado esquema [EUCS](/es/glossary/eucs/), si se finaliza con criterios de soberanía, probablemente reflejaría de cerca a SecNumCloud 3.2.
### 5. Joint ventures de hyperscalers
S3NS (Thales + Google Cloud) y Bleu (Capgemini/Orange + Microsoft) existen *por* SecNumCloud. El modelo de joint venture es la única vía para que la tecnología de hyperscalers estadounidenses pueda servir cargas sujetas a SecNumCloud.
## SecNumCloud frente a SOC 2 / ISO 27001 / BSI C5
| Aspecto | SecNumCloud | SOC 2 / ISO 27001 | BSI C5 |
|---------|-------------|---------------------|--------|
| Base de seguridad | Completa | Completa | Completa |
| Requisitos de soberanía | **Sí (estrictos)** | Ninguno | Suaves (documenta la exposición) |
| Estructura corporativa UE | Obligatoria | No obligatoria | No obligatoria |
| Inmunidad al derecho extranjero | Obligatoria | No tratada | No obligatoria |
| Rigor de la auditoría | Muy alto | Moderado-alto | Alto |
| Coste típico | Alto | Moderado | Moderado-alto |
| Mercado | Sectores regulados franceses | Internacional | Sectores regulados alemanes |
SecNumCloud es único al combinar una base de seguridad sólida con criterios de soberanía vinculantes.
## Qué significa SecNumCloud en la práctica
### Para compradores franceses
SecNumCloud es la expectativa por defecto para cargas sensibles. Para sectores regulados (banca, sanidad, defensa) y el sector público, es efectivamente obligatorio.
### Para proveedores cloud europeos
La cualificación SecNumCloud es una inversión costosa pero de alto valor para atender mercados regulados franceses. La certificación crea un foso competitivo.
### Para hyperscalers estadounidenses
La cualificación directa SecNumCloud es estructuralmente imposible por la exposición a la CLOUD Act. Participar exige un modelo de joint venture (S3NS, Bleu) en el que el socio francés tenga control mayoritario.
### Para empresas europeas en general
Los proveedores cualificados SecNumCloud son opciones creíbles con independencia del origen nacional. Su cualificación es evidencia significativa de alineación con la soberanía.
## Qué traerán 2026-2027
- **SecNumCloud 4.0**: revisión prevista alineada con NIS2 y el trabajo EUCS
- **Extensiones para cargas de IA** a medida que la ANSSI desarrolla orientaciones cloud para la AI Act
- **Más cualificaciones de JV** a medida que los hyperscalers estadounidenses amplían sus alianzas europeas
- **Convergencia con EUCS** si el esquema paneuropeo se finaliza con criterios de soberanía sólidos
- **Aplicación en el sector público** a medida que las agencias francesas completen las migraciones cloud-first
## Implicaciones prácticas
Para la mayoría de compradores tecnológicos europeos:
- **Si está en el sector público francés o en una industria regulada**: SecNumCloud es directamente determinante
- **Si presta servicio a clientes regulados franceses**: el cloud cualificado SecNumCloud es cada vez más requerido en su cadena de suministro
- **Si evalúa la soberanía cloud en sentido amplio**: SecNumCloud es el marco europeo más maduro; sus requisitos son la referencia
- **Para decisiones SaaS cotidianas**: SecNumCloud es contexto de fondo
¿Te resultó útil?
¡Gracias por tu opinión!