Cuando las organizaciones europeas implementan DMARC para proteger sus dominios de correo electrónico, la elección del proveedor de DMARC no es solo una decisión técnica.

También puede convertirse en una decisión de gobernanza de datos, riesgo de proveedores y transferencia internacional.

Los informes DMARC pueden revelar más que el estado de autenticación. Pueden mostrar qué sistemas envían correos electrónicos en nombre de un dominio, qué proveedores están involucrados, dónde falla la autenticación, qué direcciones IP están activas, cómo fluye el correo entre regiones y dónde pueden estar ocurriendo intentos de envío no autorizados.

Para las organizaciones de la UE, esa información puede ser relevante según el RGPD, obligaciones contractuales de protección de datos, normas específicas del sector y políticas internas de residencia de datos.

La CLOUD Act de EE. UU. agrega otra capa a esta evaluación.

La CLOUD Act puede requerir que los proveedores de servicios estadounidenses cubiertos preserven, respalden o divulguen ciertos datos dentro de su posesión, custodia o control, incluso cuando los datos se almacenan fuera de Estados Unidos. Para las organizaciones de la UE que utilizan proveedores tecnológicos con sede en EE. UU. o controlados por EE. UU., esto puede crear cuestiones legales y jurisdiccionales que deben evaluarse antes de enrutar la telemetría de seguridad a una plataforma de terceros.

Esto no significa que las empresas de la UE no puedan usar proveedores con sede en EE. UU.

Significa que deben comprender qué datos se están procesando, dónde se almacenan, qué mecanismo de transferencia legal se aplica, qué salvaguardas están implementadas y cómo se manejan las solicitudes de acceso gubernamental.

La protección DMARC y la protección de datos no deben tratarse como conversaciones separadas.

Ambas son parte de la misma arquitectura de confianza.

Descargo de responsabilidad: Este artículo proporciona información general y no debe considerarse asesoramiento legal. Las organizaciones deben consultar con asesores legales calificados para requisitos específicos de cumplimiento, evaluaciones de transferencia y obligaciones regulatorias.

I. Qué significa la CLOUD Act en este contexto

La CLOUD Act de EE. UU., promulgada en 2018, aclaró que ciertos proveedores de servicios estadounidenses pueden estar obligados a divulgar datos dentro de su posesión, custodia o control, independientemente de si esos datos se almacenan dentro o fuera de Estados Unidos.

Para los servicios DMARC, la pregunta relevante no es solo si el proveedor almacena datos en Europa.

La pregunta más profunda es:

¿Quién controla el servicio, quién puede acceder a los datos y qué regímenes legales pueden aplicarse al proveedor?

Esto importa porque los proveedores de DMARC pueden procesar telemetría operativa de seguridad que es útil tanto para defensores como para atacantes.

Dependiendo de la implementación, un proveedor de DMARC puede procesar:

  • Informes agregados de DMARC
  • Informes forenses o de fallos de DMARC, si están habilitados
  • Direcciones IP de envío
  • Resultados de autenticación
  • Datos de alineación de SPF, DKIM y DMARC
  • Patrones de volumen de correo
  • Información de remitentes de terceros
  • Configuraciones de dominio
  • Datos de cuentas de usuario y administrador
  • Análisis de seguridad derivados de informes
  • Datos históricos de aplicación y políticas

Esta información puede no contener siempre el contenido del mensaje, especialmente en informes agregados. Pero aún puede revelar detalles operativos sensibles sobre la infraestructura de correo electrónico de una organización.

Por eso la selección del proveedor debe evaluarse tanto desde una perspectiva de seguridad como de privacidad.

II. Por qué los datos de informes DMARC pueden ser sensibles

Los informes DMARC a menudo se describen como registros técnicos.

Esa descripción está incompleta.

Los datos DMARC pueden revelar cómo una organización envía correos electrónicos, qué plataformas están autorizadas, qué proveedores están mal configurados, qué dominios no están completamente protegidos y dónde están ocurriendo intentos de suplantación.

Por ejemplo, los datos agregados de DMARC pueden mostrar:

  • Qué direcciones IP están enviando en nombre del dominio
  • Qué proveedores se usan para correo transaccional
  • Qué plataformas de marketing están activas
  • Qué sistemas internos envían correo
  • Qué fuentes fallan la alineación SPF o DKIM
  • Qué terceros no están configurados correctamente
  • Qué subdominios están expuestos
  • Qué proveedores receptores están viendo fallos de autenticación

Esta información es valiosa para los equipos de seguridad.

También puede ser valiosa para los atacantes.

Por lo tanto, un programa DMARC maduro debe evitar tratar los datos de informes como metadatos inofensivos. Deben gobernarse como telemetría de seguridad.

III. RGPD y transferencias internacionales de datos

Lista de verificación GDPR de 10 pasos para evaluar proveedores de DMARC, incluyendo el mapeo de datos, mecanismos de transferencia y controles de acceso.

Para las organizaciones de la UE, el RGPD se vuelve relevante cuando se procesan o transfieren datos personales fuera del Espacio Económico Europeo.

El Capítulo V del RGPD restringe las transferencias de datos personales a terceros países a menos que se aplique un mecanismo de transferencia válido. Estos mecanismos pueden incluir una decisión de adecuación, Cláusulas Contractuales Tipo con las medidas complementarias necesarias, Normas Corporativas Vinculantes u otro mecanismo permitido bajo el RGPD.

La decisión Schrems II aumentó el escrutinio sobre las transferencias a proveedores sujetos a regímenes de vigilancia o acceso legítimo de terceros países. Desde entonces, se espera que las organizaciones evalúen no solo el contrato, sino también el entorno legal y las salvaguardas prácticas que rodean la transferencia.

El Marco de Privacidad de Datos UE-EE. UU., adoptado en 2023, proporciona un mecanismo de adecuación para organizaciones estadounidenses certificadas. Sin embargo, las organizaciones aún necesitan confirmar si un proveedor está certificado, si el procesamiento relevante está cubierto y si se necesitan salvaguardas contractuales o técnicas adicionales para su caso de uso específico.

Para la selección del proveedor de DMARC, la evaluación práctica debe incluir:

  • ¿Son los datos de informes DMARC datos personales, telemetría de seguridad o ambos?
  • ¿Dónde se almacenan los datos?
  • ¿Dónde se procesan los datos?
  • ¿Qué entidades pueden acceder a ellos?
  • ¿El proveedor tiene sede en la UE, en EE. UU. o forma parte de un grupo corporativo más amplio?
  • ¿Se está realizando una transferencia internacional?
  • ¿Qué mecanismo de transferencia se aplica?
  • ¿Están implementadas las Cláusulas Contractuales Tipo u otro mecanismo?
  • ¿Se necesitan medidas complementarias?
  • ¿Qué período de retención se aplica?
  • ¿Los informes forenses están deshabilitados por defecto?
  • ¿Cómo maneja el proveedor las solicitudes de acceso gubernamental?

Esta evaluación debe documentarse, especialmente para organizaciones reguladas o empresas con obligaciones estrictas de residencia de datos.

IV. La CLOUD Act no significa automáticamente incumplimiento

Revisión de riesgos de proveedores DMARC en 6 pasos que abarca la estructura legal, la residencia de datos, los tipos de informes, el acceso, la transparencia y la retención de datos.

Es importante evitar simplificar excesivamente el problema.

Usar un proveedor con sede en EE. UU. no significa automáticamente incumplimiento del RGPD.

Usar un centro de datos de la UE no elimina automáticamente todo riesgo jurisdiccional.

La cuestión del cumplimiento depende del contexto completo:

  • Estructura legal del proveedor
  • Ubicación de procesamiento de datos
  • Controles de acceso a datos
  • Modelo de cifrado
  • Salvaguardas contractuales
  • Mecanismo de transferencia
  • Política de acceso gubernamental
  • Informes de transparencia
  • Prácticas de minimización de datos
  • Límites de retención
  • Control del cliente sobre los datos
  • Si ocurre acceso de soporte o ingeniería fuera de la UE

Una evaluación seria examina el modelo operativo completo, no solo el país donde está alojado el servidor.

V. Áreas de riesgo del proveedor de DMARC que las empresas de la UE deben revisar

Tabla comparativa de informes DMARC agregados y forenses en 6 dimensiones, incluyendo la sensibilidad de los datos y el impacto del RGPD.

Al seleccionar o revisar un proveedor de DMARC, las organizaciones de la UE deben evaluar varias áreas.

Comprenda quién es la entidad contratante.

Un proveedor con sede en la UE, un proveedor con sede en EE. UU. y una subsidiaria de la UE de un grupo estadounidense pueden presentar diferentes consideraciones legales y operativas.

Preguntas que hacer:

  • ¿Qué entidad legal proporciona el servicio?
  • ¿Qué entidad firma el Acuerdo de Procesamiento de Datos?
  • ¿Qué entidades tienen acceso a los datos del cliente?
  • ¿Las operaciones de soporte, ingeniería o seguridad se realizan fuera de la UE?
  • ¿El proveedor está sujeto a las reglas de acceso legítimo de EE. UU.?
  • ¿Hay subprocesadores involucrados?

La respuesta debe documentarse en la revisión de riesgo de proveedores.

VII. 2. Residencia de datos y ubicación de procesamiento

La residencia de datos es importante, pero debe entenderse con precisión.

Un proveedor puede almacenar datos en la UE mientras el acceso de soporte o análisis ocurre en otro lugar. Otro proveedor puede procesar informes fuera de la UE mientras ofrece facturación o contratación en la UE.

Preguntas que hacer:

  • ¿Dónde se almacenan los informes DMARC?
  • ¿Dónde se analizan y procesan los informes?
  • ¿Dónde se mantienen las copias de seguridad?
  • ¿Dónde se almacenan los registros?
  • ¿Pueden los administradores restringir el procesamiento de datos a la UE?
  • ¿El proveedor utiliza subprocesadores fuera de la UE?
  • ¿El acceso de soporte requiere acceso transfronterizo?

El objetivo es comprender la ruta real de los datos, no solo la afirmación de marketing.

VIII. 3. Tipos de informes DMARC

No todos los datos DMARC tienen la misma sensibilidad.

Los informes agregados son generalmente menos invasivos que los informes forenses o de fallos. Los informes agregados suelen contener resultados de autenticación e información de fuentes de envío. Los informes de fallos pueden contener datos a nivel de mensaje dependiendo de la implementación del receptor.

Para las organizaciones de la UE, el valor predeterminado más seguro es:

  • Usar informes agregados a través de rua= para monitoreo.
  • Evitar informes forenses a través de ruf= a menos que los equipos de privacidad, legal y seguridad lo aprueben.
  • Aplicar minimización de datos y límites de retención.
  • Evitar recopilar más de lo necesario para autenticación y aplicación.

Los informes de fallos tienen una adopción limitada entre los principales receptores y pueden crear obligaciones adicionales de privacidad y retención. No deben habilitarse casualmente.

IX. 4. Controles de acceso

Las plataformas DMARC pueden exponer telemetría sensible a usuarios internos.

Las organizaciones deben revisar:

  • Controles de acceso basados en roles
  • Permisos de administrador
  • Requisitos de MFA
  • Registros de auditoría
  • Controles de acceso API
  • Controles de sesión
  • Permisos de exportación
  • Procedimientos de acceso de soporte
  • Separación entre clientes

La telemetría de seguridad no debe ser ampliamente accesible sin gobernanza.

X. 5. Acceso gubernamental y transparencia

Las organizaciones de la UE deben comprender cómo el proveedor maneja las solicitudes de acceso legítimo.

Preguntas que hacer:

  • ¿El proveedor publica informes de transparencia?
  • ¿El proveedor notifica a los clientes cuando está legalmente permitido?
  • ¿El proveedor desafía solicitudes excesivamente amplias o ilegales?
  • ¿El proveedor divulga subprocesadores?
  • ¿El proveedor explica cómo maneja las solicitudes que afectan datos de clientes de la UE?
  • ¿Se incluyen obligaciones contractuales de notificación?

Esto no elimina todo el riesgo, pero mejora la transparencia y la responsabilidad.

XI. 6. Retención y eliminación

Cuanto más tiempo se retenga la telemetría DMARC, mayor será la superficie de exposición.

Las organizaciones deben confirmar:

  • Período de retención predeterminado
  • Retención configurable por el cliente
  • Plazos de eliminación de copias de seguridad
  • Derechos de exportación y eliminación
  • Políticas de retención de registros
  • Proceso de eliminación tras terminación de cuenta

La retención debe coincidir con la necesidad operativa.

Para muchas organizaciones, el almacenamiento indefinido de telemetría DMARC sin procesar es innecesario.

XII. EIPD y evaluación de impacto de transferencia

Las organizaciones de la UE deben considerar si es apropiada una Evaluación de Impacto de Protección de Datos o Evaluación de Impacto de Transferencia al implementar un proveedor de DMARC.

Esto es especialmente relevante si:

  • Los datos DMARC se enrutan a un proveedor de un tercer país.
  • La organización opera en un sector regulado.
  • El proveedor procesa datos fuera del EEE.
  • Los informes de fallos están habilitados.
  • El dominio se usa para comunicaciones sensibles.
  • El proveedor tiene acceso a telemetría detallada de seguridad operativa.
  • Pueden inferirse patrones de comunicación de clientes o empleados.

Una evaluación práctica debe cubrir:

  • Qué datos se recopilan
  • Por qué los datos son necesarios
  • Si los datos incluyen datos personales
  • Qué mecanismo de transferencia se aplica
  • Qué salvaguardas están implementadas
  • Qué subprocesadores están involucrados
  • Cuánto tiempo se retienen los datos
  • Quién puede acceder a los datos
  • Cómo se manejan las solicitudes de acceso gubernamental
  • Si hay alternativas menos intrusivas disponibles

El propósito no es crear papeleo por sí mismo.

El propósito es hacer que el flujo de datos sea defendible.

XIII. Salvaguardas técnicas que reducen el riesgo

Las salvaguardas legales importan, pero las salvaguardas técnicas son igualmente importantes.

Las organizaciones de la UE deben buscar proveedores de DMARC que soporten:

  • Opciones de residencia de datos en la UE
  • Minimización de datos
  • Cifrado en tránsito y en reposo
  • Controles de acceso sólidos
  • Aplicación de MFA
  • Registro de auditoría
  • Retención controlada por el cliente
  • Acceso limitado de soporte
  • Transparencia de subprocesadores
  • Ingesta segura de informes
  • Separación entre inquilinos
  • Procedimientos claros de eliminación
  • Controles de seguridad API

Estas salvaguardas reducen la exposición y mejoran la defensibilidad.

Ninguna salvaguarda única resuelve por sí misma la cuestión de la CLOUD Act o la transferencia del RGPD. La fortaleza proviene de la combinación de controles contractuales, técnicos, organizativos y de gobernanza.

XIV. Gobernanza operativa para datos DMARC

DMARC no debe tratarse como un proyecto DNS puntual.

Debe ser parte de un programa de gobernanza continuo.

Las organizaciones deben mantener:

  • Inventario de dominios
  • Inventario de remitentes
  • Registros de destino de informes DMARC
  • Evaluaciones de riesgo de proveedores
  • Acuerdos de Procesamiento de Datos
  • Evaluaciones de transferencia cuando corresponda
  • Revisiones de subprocesadores
  • Decisiones de retención
  • Revisiones de control de acceso
  • Procedimientos de respuesta a incidentes
  • Registros de gestión de cambios
  • Evidencia de monitoreo y remediación

Esta documentación ayuda a demostrar que los datos DMARC se gestionan activamente, no simplemente se externalizan.

XV. Preguntas para hacer a un proveedor de DMARC

Antes de elegir o renovar un proveedor de DMARC, las organizaciones de la UE deben preguntar:

  1. ¿Qué entidad legal proporciona el servicio?
  2. ¿Dónde se almacenan los datos de informes DMARC?
  3. ¿Dónde se procesan los datos de informes DMARC?
  4. ¿Qué subprocesadores se utilizan?
  5. ¿Puede restringirse el procesamiento a la UE?
  6. ¿Los equipos de soporte o ingeniería fuera de la UE acceden a los datos de los clientes?
  7. ¿Qué mecanismo de transferencia se aplica si los datos salen del EEE?
  8. ¿Están disponibles las Cláusulas Contractuales Tipo cuando sea necesario?
  9. ¿El proveedor está certificado bajo el Marco de Privacidad de Datos UE-EE. UU., si corresponde?
  10. ¿Los informes forenses están deshabilitados por defecto?
  11. ¿Cuál es el período de retención de datos predeterminado?
  12. ¿Puede acortarse la retención?
  13. ¿Qué controles de acceso están disponibles?
  14. ¿Están disponibles los registros de auditoría?
  15. ¿El proveedor publica informes de transparencia?
  16. ¿El proveedor notifica a los clientes sobre solicitudes de acceso gubernamental cuando está legalmente permitido?
  17. ¿Cómo se eliminan los datos después de la terminación?
  18. ¿Pueden los clientes exportar sus datos?
  19. ¿Cómo se manejan las copias de seguridad?
  20. ¿El proveedor admite requisitos de implementación centrados en la UE?

Estas preguntas ayudan a convertir una discusión vaga sobre residencia de datos en una evaluación práctica de proveedores.

XVI. Verifique si su proveedor de DMARC está en la UE o fuera de ella

Muchas empresas de la UE no saben dónde se están enviando sus informes DMARC.

Un dominio puede tener DMARC habilitado, pero el destino de informes puede apuntar a un proveedor fuera de la UE, un proveedor antiguo, un buzón no gestionado o un procesador de terceros que nunca ha sido revisado por los equipos legales, de seguridad o cumplimiento.

Esto importa porque muchos proveedores de DMARC no tienen sede en la UE.

Para las organizaciones de la UE, la ubicación y estructura legal del proveedor de DMARC debe ser parte de la revisión de riesgo de proveedores.

Los informes DMARC pueden revelar:

  • Remitentes autorizados
  • Flujos de correo
  • Fallos de autenticación
  • Proveedores de terceros
  • Brechas de protección de dominio
  • Intentos de envío no autorizados

Esos datos no deben enrutarse a ciegas.

Use el escáner de Skysnag para verificar si su destino de informes DMARC apunta a un proveedor de la UE o fuera de ella:

El escáner ayuda a identificar su registro DMARC actual y el destino de informes para que su equipo pueda revisar si su proveedor cumple con sus expectativas de RGPD, residencia de datos y cumplimiento interno.

Un escaneo público no puede reemplazar una evaluación legal o de transferencia completa. Pero puede mostrar rápidamente si su configuración DMARC merece una revisión más profunda.

XVII. Cómo ayuda Skysnag Protect

Skysnag Protect ayuda a las organizaciones a implementar DMARC manteniendo visibilidad y control sobre los datos de autenticación de correo electrónico.

Para las organizaciones de la UE, Skysnag Protect puede respaldar la implementación de DMARC con controles enfocados en el cumplimiento como:

  • Monitoreo DMARC
  • Identificación de remitentes
  • Detección de fuentes no autorizadas
  • Visibilidad de alineación de SPF y DKIM
  • Seguimiento de preparación para aplicación
  • Soporte de MTA-STS y TLS-RPT
  • Informes para equipos de seguridad y cumplimiento
  • Soporte de gobernanza de datos para telemetría DMARC
  • Opciones de residencia de datos europea, cuando sea necesario

El objetivo no es solo publicar un registro DMARC.

El objetivo es construir un programa controlado de autenticación de correo electrónico que respalde las expectativas de seguridad, privacidad y cumplimiento.

Las organizaciones pueden obtener más información sobre Skysnag Protect aquí:

XVIII. Conclusiones clave

La CLOUD Act de EE. UU. no es una ley DMARC y no crea requisitos específicos de DMARC.

Sin embargo, puede ser relevante cuando las organizaciones de la UE utilizan proveedores tecnológicos con sede en EE. UU. o controlados por EE. UU. para procesar datos de informes DMARC.

Los informes DMARC pueden revelar telemetría operativa de seguridad sensible, incluidos remitentes, proveedores, fallos de autenticación, flujos de correo y brechas de protección de dominio.

Las organizaciones de la UE deben evaluar a los proveedores de DMARC a través de una lente de RGPD, riesgo de proveedores, transferencia y gobernanza de datos.

Las áreas de revisión importantes incluyen:

  • Estructura legal
  • Residencia de datos
  • Ubicación de procesamiento
  • Subprocesadores
  • Mecanismos de transferencia
  • Controles de acceso
  • Retención
  • Informes forenses
  • Políticas de acceso gubernamental

Los informes agregados de DMARC generalmente deberían ser el valor predeterminado. Los informes forenses solo deben habilitarse después de una revisión legal, de privacidad y seguridad.

Usar un proveedor con sede en EE. UU. no significa automáticamente incumplimiento, y usar un centro de datos de la UE no elimina automáticamente todo riesgo. El modelo operativo completo importa.

Un programa DMARC maduro debe proteger el dominio mientras también controla los datos creados por esa protección.

Para las organizaciones de la UE, la pregunta correcta no es solo:

«¿Tenemos DMARC?»

La pregunta más sólida es:

«¿Sabemos adónde van nuestros datos DMARC, quién puede acceder a ellos y si ese procesamiento es defendible según nuestras obligaciones legales y de cumplimiento?»

Si es una empresa de la UE, comience verificando dónde van sus informes DMARC. Use el escáner de Skysnag para ver si su proveedor actual de DMARC parece estar en la UE o fuera de ella: