Ir ao contido principal
Certyneo

Firma electrónica na nube ou on-premise: que opción escoller en 2026?

Cloud SaaS ou despliegue on-premise: a opción de aloxamento da súa solución de firma electrónica condiciona a seguridade, custos e conformidade eIDAS. Descubra a nosa análise experta.

Équipe éditoriale Certyneo13 min de lectura

Équipe éditoriale Certyneo

Redactor — Certyneo · Sobre Certyneo

Introdución

Escoller entre unha firma electrónica na nube e un aloxamento on-premise é unha das decisións estratéxicas máis estruturantes para unha DSI ou unha dirección xurídica en 2026. Se o SaaS seduciu amplamente ás PEME pola súa simplicidade de despliegue, as grandes empresas e organizacións sometidas a limitacións regulatorias sectoriais aínda se cuestionan a pertinencia dun aloxamento internalizao. Este comparativo profundo analiza os dous modelos segundo cinco eixos claves: soberanía de datos, seguridade técnica, conformidade eIDAS, custo total de propiedade e axilidade de negocio. Ao final deste artigo, terá un marco de decisión operacional para escoller a arquitectura axeitada ao seu contexto.

Comprender os dous modelos de aloxamento

A firma electrónica na nube (SaaS)

Nun modelo de nube, o editor opera a integralidade da infraestrutura: servidores, actualización, dispoñibilidade, copia de seguridade e seguridade dos datos. A empresa cliente accede á solución mediante unha API ou unha interface web, sen ningunha instalación local. Os actores do mercado europeo — incluído Certyneo — apoianse xeralmente en centros de datos certificados ISO 27001 localizados na Unión Europea (Francia, Alemaña, Países Baixos), garantindo a conformidade ao RGPD sen esforzos adicionais por parte do cliente.

As vantaxes son ben coñecidas: despliegue en poucas horas, escalabilidade inmediata, actualizacións automáticas que integran as evolucións regulatorias (eIDAS 2.0, DSP3, NIS2), e modelo económico baseado no uso (OPEX). Segundo o informe Markess by Exaegis 2025, o 78% das empresas francesas de menos de 500 empregados prefiren agora o SaaS para as súas ferramentas de desmaterialización.

O despliegue on-premise

O on-premise consiste en instalar a plataforma de firma electrónica directamente nos servidores da empresa ou nun centro de datos privado que controla. Este modelo ofrece control total sobre os datos, fluxos e políticas de seguridade. É historicamente adoptado por bancos, aseguradoras, hospitais ou administracións públicas que tratan datos sensibles sometidos a referentes específicos (HDS, SecNumCloud, PGSSI-S).

A contrapartida é unha carga operacional significativa: o equipo de IT debe xestionar as actualizacións, certificados de firma cualificados, HSM (Hardware Security Modules), alta dispoñibilidade e vixilancia regulatoria. O custo inicial (CAPEX) é elevado, con licencias que poden superar 80.000 € para unha instalación empresarial, aos que se engaden os custos de infraestrutura anuais.

Soberanía de datos e conformidade regulatoria

O RGPD e a localización dos datos

O regulamento eIDAS e as súas implicacións para as súas firmas cualificadas impón que os prestadores de servizos de confianza (PSCo) sexan auditados e incluídos nas listas de confianza nacionais. Independentemente de que opte pola nube ou on-premise, a súa solución debe basearse imperativamente nun PSCo cualificado. A verdadeira cuestión RGPD refírese aos tresladamentos fora da UE: unha nube aloxada nun hiperscale americano (AWS, Azure, GCP) sen cláusulas de contrato estándar válidas (SCC) expón a empresa a sancións que poidan alcanzar o 4% da facturación mundial.

As solucións na nube europeas como Certyneo responden a este requisito nativamente, con servidores exclusivamente localizados en Francia e un DPA (Acordo de Procesamento de Datos) conforme ao artigo 28 do RGPD proporcionado desde a subscrición.

SecNumCloud e sectores regulados

Para os operadores de importancia vital (OIV) e os organismos sometidos á doutrina Cloud no centro da DINUM, a cualificación SecNumCloud da ANSSI imponse progresivamente. En 2026, só uns poucos actores na nube francesa obtiveron esta cualificación (OVHcloud, Outscale). As organizacións interesadas deben entón escoller entre unha nube cualificada SecNumCloud ou manter un on-premise conforme ao referente ANSSI RGS v2.

Ter en conta que NIS2, transposta a dereito francés pola lei do 26 de xaneiro de 2025, estende as obrigacións de ciberseguridade a máis de 15.000 entidades esenciais e importantes, creando unha nova presión normativa sobre a opción de arquitectura.

Custo total de propiedade: análise comparativa

A análise TCO (Custo Total de Propiedade) en 5 anos revela sistematicamente unha vantaxe na nube para volumes inferiores a 50.000 firmas/ano. Por enriba diso, o on-premise pode ser competitivo se a infraestrutura xa existe. O calculador ROI de Certyneo permite estimar con precisión este punto de cambio segundo a súa volumetría e sector.

Un despliegue on-premise típico para unha empresa de 1.000 colaboradores representa:

  • Licenza inicial: 60.000 a 120.000 €
  • Infraestrutura HSM e servidores dedicados: 30.000 a 50.000 €
  • Mantemento anual (20% da licenza): 12.000 a 24.000 €/ano
  • Recursos de IT internos: 0,5 a 1 ETP dedicado

En comparación, unha nube SaaS da mesma capacidade custa xeralmente 18.000 a 40.000 €/ano todo incluído, con cero CAPEX.

Seguridade técnica: vantaxes e limitacións de cada modelo

A seguridade en ambiente na nube

Contrario a un preconcepto persistente, a nube dun editor especializado ofrece frecuentemente un nivel de seguridade superior a unha infraestrutura on-premise dunha empresa común. As razóns son estruturais: os editores invierten masiamente en equipos dedicados (SOC 24/7, probas de penetración trimestrais, certificacións ISO 27001 e SOC 2 Type II), o que está fóra do alcance da maioría das DSI internas.

As boas prácticas inclúen cifrado AES-256 en repouso e TLS 1.3 en tránsito, autenticación multifactor obrigatoria, rexistro inmutable dos eventos de firma, e copias de seguridade xeorredundantes. O valor xurídico da firma electrónica descanso precisamente nesta trazabilidade inalterable.

Os riscos propios do on-premise

O on-premise xera riscos específicos frecuentemente subestimados:

  • Deriva de versión: sen equipo dedicado, as actualizacións criptográficas (revogación de certificados, paso a SHA-3) retráxense, exponendo a empresa a firmas tecnicamente inválidas.
  • Xestión dos HSM: un Hardware Security Module mal configurado ou cuxo firmware non estea actualizado anula as garantías de non-repudio.
  • Plan de recuperación de actividade: a dispoñibilidade (SLA) dun on-premise interno raramente supera o 99,5%, contra o 99,95% dunha nube SaaS estruturada.

Para as organizacións que desexan combinar soberanía e delegación operacional, o modelo nube privada (Nube Privada dedicada nun centro de datos terceiro certificado HDS ou SecNumCloud) constitúe unha vía media pertinente.

Integración, axilidade e escalabilidade

API e interoperabilidade

Os dous modelos expoñen agora APIs REST documentadas. Non obstante, a velocidade de actualización é estruturalmente diferente: un editor na nube desprega novas funcionalidades (firma biométrica, IA de detección de fraude documental, soporte eIDAS 2.0 Wallet) en poucas semanas, mentres que un on-premise implica un ciclo de cualificación interna de 3 a 6 meses por versión principal.

Para integrar a firma electrónica nun ERP (SAP, Oracle), un SIRH ou unha GED (OpenText, Alfresco), a nube ofrece conectores preconstruídos mantidos polo editor. O comparativo completo das solucións de firma electrónica detalha as capacidades de integración dos principais actores do mercado.

Escalabilidade e volumetría

Na nube, a escalabilidade é case instantánea: unha campaña de 10.000 firmas simultáneas (asamblea de accionistas, despliegue de RRHH masivo) é absorbida sen configuración previa. En on-premise, o sobredimensionamento da infraestrutura debe anticipar os picos, xerando custos de inmovilización.

As organizacións en crecemento rápido ou que practican ciclos estacionais (inmoboiliario, seguros) benefícianse especialmente da elasticidade na nube. A firma electrónica en inmoboiliario, por exemplo, coñece picos de volumetría ligados aos ciclos do mercado que farían un on-premise sobredimensionado permanentemente.

Criterios de decisión: que modelo para que perfil?

Empresas e PEME sen limitacións sectoriais específicas

Para unha PEME de 10 a 500 empregados sen obrigación regulatoria sectorial particular, a nube SaaS impóñese sen dubitación: despliegue rápido, custo controlado, conformidade eIDAS e RGPD garantida polo editor. A integración nas ferramentas de RRHH existentes facilítase polos conectores nativos — como ilustra o uso da firma electrónica para os equipos de RRHH que cobre fichas de soldo, contratos e rescisións convencionais sen infraestrutura dedicada.

Grandes empresas e sectores regulados

As empresas que tratan datos de saúde (HDS obrigatorio), datos financeiros críticos ou informacións clasificadas deben avaliar seriamente o on-premise ou a nube privada cualificada. A cuestión non é técnica senón regulatoria: o referente aplicable deixa ou non espazo a unha nube pública?

Unha arquitectura híbrida — nube para as firmas comúns, on-premise para os actos cualificados máis sensibles — é adoptada por varios grandes grupos franceses desde 2024. Este modelo require unha orquestración rigorosa e pasarelas API sólidas.

Organismos públicos e administracións

Desde a circular DINUM 2023-1, as administracións do Estado teñen incentivos para priorizar as ofertas de nube cualificadas SecNumCloud. O on-premise segue autorizado para os sistemas de información sensibles (SIS) pero debe respectar o RGS v2 e o PGSSI-S para os datos de saúde. A firma electrónica para os cabinetes xurídicos ilustra como as entidades con alta esixencia de trazabilidade atopan o seu equilibrio entre estes dous modelos.

A opción entre nube e on-premise non é neutra no plano xurídico. Varios corpus normativos enmarcan directamente a arquitectura técnica das súas solucións de firma.

Código civil, artigos 1366 e 1367: Estas disposicións definen a firma electrónica como un procedemento fiable de identificación que garante a súa vinculación ao acto ao que se adxunta. A fiabilidade do procedemento presúmese ata proba en contrario cando se usa unha firma electrónica cualificada. Esta presunción aplícase independentemente do modo de aloxamento, sempre que o prestador de servizos de confianza (PSCo) sexa cualificado.

Regulamento eIDAS nº 910/2014 e eIDAS 2.0 (regulamento UE 2024/1183): O regulamento eIDAS distingue tres niveis de firma (simple, avanzada, cualificada). A firma cualificada require imperativamente a intervención dun PSCo inscrito na lista de confianza nacional (lista de confianza ANSSI para Francia). Independentemente de que a súa solución sexa nube ou on-premise, debe interfacer cun PSCo cualificado para emitir firmas cualificadas. O eIDAS 2.0, aplicable desde maio de 2024, introduce a carteira de identidade dixital europea (EUDIW) e refuerza as esixencias sobre a xestión de certificados cualificados.

Regulamento RGPD nº 2016/679: O artigo 28 impón a conclusión dun DPA (contrato de subcontratación de datos) con calquera prestador na nube que procese datos persoais en seu nome. O artigo 44 prohibe os tresladamentos de datos fóra da UE sen garantías axeitadas (cláusulas de contrato estándar ou normas corporativas vinculantes). En on-premise interno, esta obrigación desaparece pero a empresa convértese en responsable de tratamento a título completo e debe documentar as súas medidas técnicas e organizativas (MTO) conformemente ao artigo 32.

Directiva NIS2 (directiva UE 2022/2555), transposta en Francia pola lei do 26 de xaneiro de 2025: As entidades esenciais e importantes (sectores enerxía, saúde, finanzas, auga, dixital, transporte, administración) deben implementar medidas de ciberseguridade proporcionadas, incluíndo a xestión dos riscos relacionados coa cadea de subministración dixital. Un prestador de nube de firma electrónica constitúe un provedor terceiro crítico ao senso de NIS2: due diligence obrigatoria, cláusulas contractuais específicas e dereito de auditoría.

Normas ETSI EN 319 132 e ETSI EN 319 122: Estas normas definen os formatos de firma electrónica avanzada (XAdES, PAdES, CAdES) aceptados nos mercados públicos europeos e nos cambios B2B. A conformidade a estes formatos debe verificarse independentemente da arquitectura retida.

Referente Xeral de Seguridade (RGS v2) e HDS: Para as administracións e os aloxadores de datos de saúde, o RGS v2 da ANSSI e a certificación HDS (Aloxador de Datos de Saúde, decreto do 11 de xuño de 2018) imponse respectivamente. Unha nube non certificada HDS queda xurídicamente descualificada para aloxar datos de saúde de carácter persoal, mesmo transitorialmente durante a firma dun consentimento paciente.

Riscos xurídicos a anticipar: Unha firma emitida desde un sistema non conforme pode ser contestada en xustiza, especialmente se a integridade do documento ou a identidade do asinante non pode probarse de maneira incontestable. A carga da proba recae en quien invoca a firma. Unha auditoría de conformidade previa ao despliegue, nube ou on-premise, é fortemente recomendada.

Escenarios de uso: nube ou on-premise segundo o contexto de negocio

Escenario 1 — Un grupo industrial de tamaño intermedio xestionando 15.000 contratos anuais

Unha ETI industrial (aproximadamente 1.200 colaboradores, 3 sitios de produción en Francia) debe desmaterializar o conxunto dos seus contratos con provedores, clientes e subcontratistas. Procesa en media 15.000 firmas por ano, con picos en xaneiro (renovación dos contratos-marco) e en setembro (campañas de compra). Os seus datos industriais son sensibles pero non clasificados.

Despois da análise TCO en 5 anos, a dirección financeira conclúe que unha nube SaaS europea certificada ISO 27001 é un 40% máis económica que un despliegue on-premise equivalente (economía de escala do editor vs. 0,7 ETP de IT dedicado internamente). A DSI retén unha solución na nube aloxada en Francia con SLA 99,95% e API REST documentada, integrada directamente no seu ERP. Os picos estacionais son absorbidos sen sobrecusto. Resultado constatado despois de 12 meses: redución do 65% no tempo medio de firma dos contratos con provedores (de 8,3 días a 2,9 días), e aforro anual estimado en 120.000 € nos custos de procesamento de papel e seguimento.

Escenario 2 — Un agrupamento hospitalario de 1.200 camas sometido á certificación HDS

Un agrupamento hospitalario público quere desmaterializar os seus consentimentos de pacientes, contratos de prácticos liberais e mercados públicos. Os datos procesados inclúen información de saúde de carácter persoal, sometida á certificación HDS (Aloxador de Datos de Saúde) e ao PGSSI-S.

O on-premise puro queda descartado debido á complexidade de mantemento dos HSM e á ausencia de competencias criptográficas internamente. O agrupamento opta por unha nube privada aloxada nun prestador certificado HDS e cualificado SecNumCloud. A solución de firma despregase nesta nube dedicada, con aislamento de rede estricto e rexistros de auditoría exportados ao SIEM interno. O custo é superior en 25% a unha nube compartida estándar, pero inferior en 35% a un on-premise completo. Beneficio operacional: os 800 consentimentos mensuais son procesados en menos de 24 horas contra 5 días en formato papel, cun seguimento completo conforme ás esixencias da HAS.

Escenario 3 — Un cabinete de avogados de 25 colaboradores integrando a firma no seu fluxo de traballo diario

Un cabinete de avogados de negocios parisino procesa diariamente actos de cesión, protocolos de acordo e mandatos que requiren unha firma electrónica avanzada ou cualificada. A confidencialidade dos datos de clientes é unha prioridade absoluta, pero o cabinete non dispón de ningunha infraestrutura de IT propia.

O on-premise queda excluído de toda punto por razóns de recursos. O cabinete escolle un SaaS na nube europeo con cifrado de extremo a extremo, chaves de cifrado controladas polo cliente (BYOK — Traer a Súa Propia Chave), e garantía contractual de non-acceso aos datos polo editor. Esta arquitectura chamada "zero knowledge" satisfai tanto as esixencias deontolóxicas da Barra como as obrigacións RGPD. A integración co software de xestión de expedientes (mediante API) reduce o tempo de preparación dun acto firmable de 45 minutos a 8 minutos en media, é dicir, unha ganancia de produtividade do 82% nesta tarefa.

Conclusión

Nube ou on-premise: non existe resposta universal, pero si un marco de decisión estruturado. Para a gran maioría das empresas francesas — PEME, ETI sen limitación sectorial crítica — a nube SaaS europea conforme a eIDAS e RGPD ofrece a mellor relación entre seguridade, conformidade e custo total de propiedade. O on-premise ou a nube privada cualificada segue sendo pertinente para os sectores regulados (saúde, defensa, OIV) onde referentes limitadores (HDS, SecNumCloud, RGS v2) impoñen un control total da infraestrutura.

En 2026, a verdadeira cuestión non é máis "nube ou on-premise" senón "que nivel de soberanía para que datos, con que PSCo cualificado?" Certyneo responde a estas esixencias cunha arquitectura na nube aloxada exclusivamente en Francia, certificada ISO 27001, conforme a eIDAS 2.0 e RGPD. Descubra as nosas ofertas e prezos en Certyneo ou póñase en contacto co noso equipo para unha auditoría gratuíta da súa necesidade en firma electrónica.

Proba Certyneo gratuitamente

Envía o teu primeiro sobre de sinatura en menos de 5 minutos. 5 sobres gratuítos ao mes, sen tarxeta de crédito.

Profundizar no tema

As nosas guías completas para dominar a sinatura electrónica.

Comunidade Certyneo

¿Unha pregunta sobre a sinatura electrónica?

Únete á comunidade Certyneo: fai as túas preguntas, comparte as túas respostas e intercambia con miles de usuarios e o noso equipo.