Saltar al contenido
Espacio de trabajo moderno y diáfano
Despliegue

SaaS o self-hosted: cómo desplegar tu software de licitaciones

SaaS gestionado o self-hosted en tu infraestructura: BYOK, roles y MFA, registro de actividad y el marco ENS, RGPD e ISO 27001 para proveedores públicos.

16 min de lectura

Elegir cómo se despliega el software con el que preparas ofertas parece una cuestión de infraestructura, algo que se delega en sistemas y se olvida. En un departamento de licitaciones que trabaja con el sector público la decisión pesa mucho más. Determina quién administra los servidores donde vive el conocimiento de tu empresa, en qué punto geográfico y bajo qué jurisdicción se procesan los expedientes, y qué terceros llegan a ver el contenido de un pliego o de una oferta antes de que la presentes. Cada una de esas respuestas tiene consecuencias contractuales, de protección de datos y de reputación.

Este artículo recorre la decisión completa. Qué condiciona de verdad la elección, qué modalidades existen (servicio gestionado, VPS, nube privada, self-hosted autogestionado y self-hosted gestionado por el proveedor), cómo se controlan los accesos y los proveedores de IA, qué queda registrado para una auditoría y qué marco normativo alcanza a una empresa que provee servicios o soluciones al sector público: el Esquema Nacional de Seguridad del Real Decreto 311/2022, el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018 para los datos personales de los expedientes, e ISO/IEC 27001 como referencia de gestión. Sin prometer certificaciones que ningún software otorga por sí solo, y sin sustituir el criterio de tu asesoría jurídica.

Lo esencial en 30 segundos

  • El despliegue decide tres cosas: quién opera la infraestructura, dónde se procesan los datos y qué proveedores de IA intervienen.
  • Genlicit funciona como SaaS gestionado o se despliega en tu infraestructura: un VPS dedicado, una nube privada o servidores propios en modo self-hosted.
  • Con BYOK aportas tus propias claves del proveedor de IA y eliges el proveedor; el consumo de modelos y de Datalab se factura aparte del software.
  • Los modelos locales no están integrados hoy: el contenido necesario para ciertas operaciones (por ejemplo el pliego) puede enviarse al proveedor de IA que elijas.
  • El acceso se controla con separación por organización, roles, permisos y MFA; toda la actividad relevante queda registrada.
  • Ningún despliegue certifica por sí mismo el ENS, el RGPD o la ISO 27001; el software organiza el trabajo y genera evidencia, la certificación la emite una entidad acreditada.
  • En self-hosted la licencia es perpetua; el consumo de IA y de procesamiento va por separado.

Qué condiciona realmente la elección del despliegue

Antes de comparar modalidades conviene fijar las tres variables que de verdad mueven la decisión. El resto (precio, comodidad, rapidez de puesta en marcha) se ordena a partir de ellas.

Quién opera la infraestructura

Alguien tiene que aplicar parches, vigilar los registros, hacer copias de seguridad, renovar certificados y responder a las tres de la madrugada cuando algo se cae. Ese trabajo existe siempre. La pregunta es si lo asume el proveedor del software, tu propio equipo de sistemas o un tercero de confianza. Si tu organización no cuenta con un equipo de operaciones con guardias, asumir la administración completa de un servidor de producción puede salir más caro y más frágil que delegarla, por mucho que sobre el papel el control parezca mayor.

La responsabilidad operativa y la responsabilidad jurídica no siempre coinciden. Puedes externalizar la operación técnica y seguir siendo tú el responsable del tratamiento de los datos ante la Agencia Española de Protección de Datos. Esa diferencia conviene tenerla clara desde el principio, porque marca quién firma qué y quién responde de qué.

Dónde se procesa la información

Un expediente de licitación contiene datos que no querrías ver circulando sin control: currículos del equipo adscrito, certificados de profesionales, referencias de clientes, cifras de negocio, en ocasiones datos de situaciones personales cuando el contrato lo exige. El lugar físico y jurídico donde se almacenan y procesan esos datos importa. La ubicación determina qué autoridad de control tiene competencia, qué garantías se aplican a las transferencias y qué exige tu propia política interna.

La localización del dato en reposo (dónde se guarda) y la del dato en tránsito hacia un proveedor de IA (a dónde viaja para ser analizado) son dos cuestiones distintas, y ambas cuentan. Un despliegue puede tener la base de datos en un centro de datos español y, aun así, enviar el texto de un pliego a un modelo alojado fuera. Conviene decidir las dos por separado.

Qué proveedores de IA intervienen

Genlicit no incorpora un modelo propio cerrado. Se apoya en el proveedor de IA que el cliente elige, y esa elección tiene efectos directos sobre dónde se procesa el contenido y bajo qué condiciones contractuales. Cambiar de proveedor cambia la jurisdicción, la política de retención y las cláusulas de uso de datos para entrenamiento. Por eso la elección del proveedor forma parte de la decisión de despliegue y no es un ajuste posterior.

Aquí entra el modelo BYOK, que desarrollamos más abajo. Aportar tus propias claves significa que la relación con el proveedor de IA es tuya, con tu contrato y tus condiciones, y que el consumo se factura contra tu cuenta. Puedes revisar cómo se traza cada llamada en la página de trazabilidad de la IA.

Las modalidades de despliegue, una por una

Genlicit cubre un abanico que va del servicio totalmente gestionado al servidor propio administrado por tu equipo. No hay una modalidad mejor en abstracto: depende del tamaño de tu departamento, de tu capacidad de operación y de las exigencias de los contratos a los que te presentas. La configuración concreta de seguridad y operación se define durante la implantación.

SaaS gestionado

El proveedor opera todo: infraestructura, actualizaciones, copias, vigilancia. Tu equipo entra por el navegador y trabaja. Es la vía más rápida de puesta en marcha y la que menos carga pone sobre tu departamento de sistemas. A cambio, cedes la operación técnica y aceptas que los datos vivan en la infraestructura del servicio, con las garantías que se pacten en el contrato. Para muchas empresas que licitan sin datos especialmente sensibles, esta opción resuelve el problema con el menor coste de gestión.

VPS dedicado

Un servidor privado virtual dedicado sitúa tu instancia en una máquina reservada para ti, con recursos que no compartes con otros clientes en el mismo entorno lógico. Ofrece más aislamiento que un entorno compartido y permite elegir la región del centro de datos. La operación puede seguir a cargo del proveedor o repartirse. Es un punto intermedio razonable cuando quieres control sobre la ubicación sin montar tu propia plataforma.

Nube privada

Desplegar en la nube privada de tu organización (tu suscripción, tu tenant, tu red) mantiene los datos dentro de tu perímetro de nube y bajo tus políticas de identidad, cifrado y registro. El software se integra con los controles que ya tienes: gestión de accesos, segmentación de red, cifrado gestionado por ti. Es habitual en organizaciones que ya han estandarizado su gobernanza de nube y quieren que cualquier herramienta nueva encaje en ella.

Self-hosted autogestionado

En la modalidad self-hosted autogestionada instalas Genlicit en tu propia infraestructura y tu equipo asume la operación completa. Máximo control sobre el dato y sobre quién toca qué, a cambio de la responsabilidad íntegra de mantener el sistema seguro y disponible. Tiene sentido cuando el pliego o tu política interna exigen que los datos no salgan de tus instalaciones o de tu nube, y cuando cuentas con un equipo capaz de sostener esa operación. Puedes ver los detalles en la página de despliegue self-hosted.

Self-hosted gestionado por el proveedor

Existe una variante que combina lo mejor de las dos anteriores: el software se despliega en tu infraestructura, pero la operación (actualizaciones, vigilancia, soporte) la asume el proveedor mediante un acuerdo. El dato no sale de tu entorno y, aun así, no cargas a tu equipo con la administración diaria. Requiere definir con precisión los accesos del proveedor a tu entorno y dejarlos registrados, algo que se acuerda durante la implantación.

SaaS frente a self-hosted: una comparación honesta

La tabla siguiente resume las diferencias por las dimensiones que suelen decidir la elección. Ninguna columna gana en todo. Se trata de ver qué pesa más en tu caso.

DimensiónSaaS gestionadoSelf-hosted
OperaciónLa asume el proveedor: parches, copias, vigilancia y disponibilidadLa asume tu equipo (autogestionado) o el proveedor sobre tu entorno (gestionado)
Ubicación del datoEn la infraestructura del servicio, con la región y garantías pactadasDentro de tu perímetro: tu VPS, tu nube privada o tus servidores
CumplimientoEl proveedor aporta parte de las garantías; sigues siendo responsable del tratamientoControlas el entorno de extremo a extremo; la evidencia y la conformidad recaen en ti
CosteSuscripción periódica; consumo de IA y Datalab según usoLicencia perpetua del software; consumo de IA y Datalab aparte; coste de operación propio
ResponsabilidadCompartida según el contrato de encargo de tratamientoConcentrada en tu organización, con el alcance que definas para el proveedor
Puesta en marchaRápida: acceso por navegador desde el primer díaRequiere instalación y configuración en tu infraestructura

Una lectura apresurada de esta tabla lleva a pensar que self-hosted significa siempre más seguridad. No es exacto. Un servidor propio mal parcheado, sin copias verificadas y sin vigilancia es más vulnerable que un servicio gestionado por un equipo dedicado. El control adicional solo se traduce en seguridad real si tienes la capacidad de ejercerlo. Esa es la pregunta honesta que conviene hacerse antes de elegir.

Control de accesos y de proveedores de IA

Sea cual sea la modalidad, el gobierno de quién entra y de qué proveedor procesa el contenido se apoya en los mismos mecanismos. Cambia el perímetro, no los controles.

Roles, permisos y separación por organización

Genlicit separa la información por organización y gobierna el acceso con roles y permisos. Cada persona ve y hace lo que su rol permite, y los datos de una organización no se mezclan con los de otra. En un departamento de licitaciones esto evita que un perfil comercial acceda a documentación sensible del expediente o que una consulta cruce información entre clientes cuando trabajas para varios. La granularidad de los permisos se ajusta al organigrama real del equipo.

Autenticación reforzada con MFA

El acceso admite verificación en varios factores (MFA), de modo que una contraseña filtrada no basta para entrar. Es una medida básica y a la vez de las más eficaces contra los accesos indebidos, y muchos pliegos con requisitos de seguridad la exigen de forma explícita para los sistemas que tratan información del contrato.

BYOK: tus claves, tu proveedor

El modelo BYOK (bring your own key, aporta tu propia clave) es una de las decisiones de fondo de Genlicit. El cliente aporta las claves de su proveedor de IA y elige qué proveedor se usa. Esto tiene tres efectos prácticos. Primero, la relación contractual con el proveedor de IA es tuya, con tus condiciones de retención y de uso de datos. Segundo, el consumo de modelos se factura contra tu cuenta, sin intermediación. Tercero, controlas qué proveedor procesa tu contenido y puedes cambiarlo si tu política lo requiere. La clave no se comparte fuera de tu configuración.

Conviene entender el reverso. Elegir el proveedor implica aceptar sus condiciones: dónde procesa, cuánto retiene, qué hace con el contenido. Revisar esas cláusulas forma parte de la decisión, y es un buen momento para sentar a tu asesoría jurídica y de protección de datos.

Aislamiento del contenido no confiable

Un pliego es contenido externo que tu sistema va a leer y procesar. Tratarlo como potencialmente hostil es una precaución sensata. Genlicit incorpora una capa anti-inyección que aísla el contenido no confiable para que las instrucciones ocultas en un documento no se cuelen como órdenes al modelo, control de SSRF para evitar que el procesamiento haga peticiones a destinos internos no autorizados, y un presupuesto acotado que pone un techo al consumo por operación. Son defensas pensadas para un escenario en el que el material de entrada no lo controlas tú, que es exactamente el caso de un pliego descargado de una plataforma pública.

Qué se registra para una auditoría

Buena parte de la confianza en una herramienta depende de si puedes reconstruir lo que pasó. Genlicit registra la actividad relevante para que cualquier resultado pueda comprobarse después: qué se procesó, quién lo hizo, con qué proveedor y con qué resultado. Ese registro es la materia prima de una auditoría y la base para responder cuando un cliente o un órgano de contratación pregunta cómo se trató su información.

  • Llamadas a los modelos de IA: qué se envió, a qué proveedor y qué se recibió.
  • Lecturas y accesos a los documentos y a los datos del expediente.
  • Versiones de los documentos y de los resultados generados.
  • Actividad de los usuarios: quién hizo qué y cuándo.

Esta trazabilidad conecta con la forma en que Genlicit trata el análisis de pliegos, donde cada dato importante conserva su cita literal y su página de origen. La lógica es la misma en las dos capas: que nada quede sin rastro. Puedes ampliarlo en la página de trazabilidad de la IA.

El marco de cumplimiento para proveedores del sector público

Una empresa que licita con la Administración y que trata información de expedientes se mueve dentro de un marco normativo que conviene conocer, aunque el software no lo resuelva por ti. Tres piezas concentran casi todo: el Esquema Nacional de Seguridad, la normativa de protección de datos y, como referencia de gestión, la familia ISO 27000. Ninguna se cumple por instalar una herramienta. Todas se apoyan en cómo organizas el trabajo y en la evidencia que eres capaz de mostrar.

Esquema Nacional de Seguridad (Real Decreto 311/2022)

El Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022, de 3 de mayo, fija los principios y requisitos de seguridad para los sistemas de información del sector público. Su alcance no se queda en la Administración. El artículo 2.3 extiende su aplicación a los sistemas de información de las entidades del sector privado cuando, en virtud de una relación contractual, presten servicios o provean soluciones a entidades del sector público. En la práctica: si tu empresa presta un servicio a un organismo y ese servicio trata información suya, el ENS puede alcanzarte a través del contrato.

El ENS clasifica los sistemas en tres categorías (básica, media y alta) según el impacto que tendría un incidente sobre las dimensiones de seguridad que el propio real decreto enumera: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. A mayor impacto potencial, categoría más exigente y más medidas de protección. La categoría no la fija el proveedor del software: resulta de la valoración que hace el responsable del sistema sobre la información que se maneja. Un despliegue self-hosted dentro de tu perímetro facilita alinear el sistema con las medidas que tu categoría exija, pero no las aplica solo. El trabajo de valoración, medidas y auditoría sigue siendo tuyo.

Ningún software otorga la conformidad con el ENS por el hecho de instalarse. La categoría, las medidas y la auditoría son responsabilidad de la entidad, no del producto.

RGPD y LOPDGDD: los datos personales del expediente

Los expedientes de licitación están llenos de datos personales: nombres, currículos, titulaciones y datos de contacto del equipo adscrito, firmas, a veces información sensible cuando el objeto del contrato lo requiere. Su tratamiento se rige por el Reglamento General de Protección de Datos (Reglamento UE 2016/679) y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que adapta el reglamento al ordenamiento español.

Hay un artículo que ordena buena parte de la decisión de despliegue: el artículo 28 del RGPD, sobre el encargado del tratamiento. Cuando un tercero trata datos personales por cuenta de tu empresa, la relación debe regirse por un contrato que fije el objeto, la duración, la naturaleza y la finalidad del tratamiento, y ese tercero debe ofrecer garantías suficientes de medidas técnicas y organizativas apropiadas. Además, no puede recurrir a otro encargado sin tu autorización. Esto se traduce en preguntas concretas: si eliges SaaS, ¿quién es el encargado del tratamiento y qué firma?; si el contenido viaja a un proveedor de IA, ¿ese proveedor es un subencargado y bajo qué condiciones? En self-hosted, con el dato dentro de tu perímetro, el mapa de encargados se simplifica, aunque el proveedor de IA sigue interviniendo cuando envías contenido a analizar.

Genlicit organiza y registra el tratamiento, pero no te convierte en cumplidor automático del RGPD. La figura del responsable, el registro de actividades de tratamiento, las bases de licitud y la atención a los derechos de los interesados siguen siendo cosa de tu organización y de tu delegado de protección de datos, si lo tienes.

ISO/IEC 27001 e ISO/IEC 27701 como referencia

La norma ISO/IEC 27001 en su versión de 2022 es la referencia internacional para un sistema de gestión de la seguridad de la información (SGSI). Define cómo establecer, implantar, mantener y mejorar de forma continua ese sistema, e incluye en su Anexo A un catálogo de controles organizados en cuatro grupos: organizativos, de personas, físicos y tecnológicos. La certificación la emite una entidad acreditada tras auditar tu sistema. No la otorga un producto.

Su extensión para privacidad, ISO/IEC 27701, añade sobre el SGSI los requisitos de un sistema de gestión de la información de privacidad, pensado para quien trata datos personales como responsable o como encargado, y encaja de forma natural con las obligaciones del RGPD. Si tu empresa mantiene un SGSI, gestionar sus controles, riesgos y evidencias en el mismo entorno donde vive el conocimiento de licitaciones ahorra trabajo y evita duplicar la trazabilidad. Hemos dedicado un artículo entero a ese enfoque: gestionar un SGSI con controles, riesgos y evidencias alineados con ISO 27001. Puedes ver también las páginas de ISO 27001 e ISO 27701.

Qué información sale hacia un proveedor externo

Este es el punto que más conviene decidir de forma explícita, porque afecta a todo lo anterior. Para determinadas operaciones, Genlicit necesita enviar contenido al proveedor de IA que hayas elegido. El caso más claro es el análisis de un pliego: el texto del documento se envía al proveedor para extraer requisitos, criterios y plazos. Ese envío es el que activa las preguntas de protección de datos y de ubicación del procesamiento que hemos ido planteando.

Importa saber qué no ocurre hoy. Los modelos de IA locales no están integrados actualmente. No existe, por ahora, una opción de procesar el contenido con un modelo que corra dentro de tu perímetro sin salir a un proveedor externo. Quien necesite que ningún contenido de expediente abandone sus instalaciones debe tenerlo presente: el despliegue self-hosted mantiene el dato en reposo dentro de tu entorno, pero las operaciones que requieren IA siguen enviando el contenido necesario al proveedor que elijas. Conviene planificar qué documentos se procesan con IA y cuáles no, y dejarlo acordado durante la implantación.

La combinación práctica que muchas organizaciones adoptan es clara. Datos en reposo dentro de tu perímetro (self-hosted o nube privada), proveedor de IA elegido y contratado por ti mediante BYOK, y una decisión consciente y documentada sobre qué contenido se envía a analizar. Con eso, el flujo de información hacia fuera deja de ser una caja negra y pasa a ser una política que puedes explicar y auditar.

Licencia perpetua y coste en self-hosted

El modelo económico cambia según la modalidad, y conviene entenderlo antes de comparar precios. En self-hosted, la licencia del software es perpetua: pagas por el derecho de uso y lo conservas, sin depender de una suscripción que caduca. Aparte de esa licencia van dos consumos que dependen de tu actividad real: el consumo de los modelos de IA (que pagas a tu proveedor gracias al modelo BYOK) y el consumo de Datalab para el procesamiento de documentos. A eso se suma el coste de operar tu propia infraestructura, que asumes tú o el proveedor según el acuerdo.

En un servicio gestionado, el esquema es de suscripción, con el consumo de IA y de procesamiento facturado según uso. Cuál sale más a cuenta depende del volumen, de si ya tienes infraestructura y equipo de operación, y del horizonte temporal. Una licencia perpetua amortiza mejor a largo plazo si tienes con qué operarla; una suscripción reduce la carga inicial y la de gestión. Puedes revisar las opciones en la página de planes.

Un ejemplo concreto

Veámoslo con un caso. Una consultora de ingeniería de sesenta personas se presenta con regularidad a contratos de servicios de un ministerio y de varias comunidades autónomas. Sus ofertas incluyen currículos detallados de los ingenieros adscritos, titulaciones, certificaciones profesionales y referencias de proyectos anteriores con datos de clientes. Algunos pliegos, por el tipo de organismo, exigen medidas de seguridad alineadas con el ENS de categoría media y piden acreditar controles concretos sobre los sistemas que tratan su información.

En SaaS gestionado, la consultora arrancaría en días y descargaría a su pequeño equipo de sistemas de toda la operación. A cambio, tendría que cerrar con el proveedor un contrato de encargo de tratamiento sólido, verificar la ubicación del procesamiento y responder ante sus clientes públicos sobre dónde acaban sus datos. Es viable, siempre que el contrato y las garantías encajen con lo que exigen sus pliegos.

Si decide ir a self-hosted en su nube privada, los expedientes se quedan dentro de su tenant, bajo sus políticas de identidad y cifrado, y le resulta más fácil alinear el sistema con las medidas del ENS que le reclaman. Aporta sus propias claves del proveedor de IA con BYOK y decide que solo los pliegos, y nunca los currículos completos, se envíen a analizar con IA. Asume, eso sí, la operación: parches, copias y vigilancia, o bien contrata al proveedor para que la lleve sobre su entorno. La licencia es perpetua, y el consumo de IA y de Datalab lo paga según lo que use. Para una empresa con esos requisitos y con un equipo capaz de operar, esta combinación suele ser la que mejor concilia control del dato y exigencias contractuales.

El ejemplo deja una enseñanza aplicable a casi cualquier caso: la modalidad correcta es la que responde a la vez a tus requisitos contractuales, a tu capacidad real de operación y a tu política de datos. Copiar la decisión de otra empresa sin ese análisis suele salir caro.

Preguntas antes de decidir

Antes de comprometerte con una modalidad, vale la pena responder por escrito a unas cuantas preguntas. Si alguna se queda en blanco, todavía no tienes la decisión madura.

  • ¿Qué exigen los pliegos a los que te presentas en materia de seguridad y de ubicación de los datos? ¿Alguno menciona el ENS y con qué categoría?
  • ¿Tratas datos personales sensibles en los expedientes? ¿Quién es el responsable y quién sería el encargado del tratamiento en cada modalidad?
  • ¿Tienes un equipo capaz de operar un servidor de producción con garantías, o te conviene delegar la operación?
  • ¿Qué proveedor de IA quieres usar y has revisado sus condiciones de retención y de uso del contenido?
  • ¿Qué documentos aceptas enviar a analizar con IA y cuáles no deben salir de tu perímetro?
  • ¿Cómo vas a demostrar ante un cliente o un auditor qué se hizo con su información?

Estas preguntas no las contesta el software. Las contesta tu organización, idealmente con tu asesoría jurídica y tu responsable de seguridad en la mesa. Genlicit aporta los mecanismos; la política es tuya.

Cómo Genlicit ayuda con la decisión de despliegue

Genlicit no promete cumplimiento automático de ninguna norma ni sustituye el consejo de tu abogado o de tu delegado de protección de datos. Lo que ofrece es un abanico de despliegue que se adapta a tu decisión en lugar de imponerte uno. SaaS gestionado cuando quieres rapidez y mínima carga operativa. VPS dedicado o nube privada cuando necesitas controlar la ubicación. Self-hosted, autogestionado o gestionado por el proveedor, cuando el dato debe quedarse dentro de tu perímetro.

Sobre esa base, los mismos controles acompañan a todas las modalidades: separación por organización, roles, permisos y MFA; BYOK para que elijas y contrates tú al proveedor de IA; registro de llamadas a modelos, lecturas, versiones y actividad para que cualquier resultado se pueda auditar; y una capa de defensa (anti-inyección, control de SSRF, presupuesto acotado) pensada para tratar el pliego como el contenido no confiable que es. La configuración exacta se define contigo durante la implantación, y puedes ver el conjunto en la página de seguridad y despliegue.

Si tu empresa además mantiene un sistema de gestión de seguridad, gestionar sus controles y evidencias en el mismo entorno donde vive el conocimiento de tu empresa y donde analizas los pliegos evita duplicar el trabajo de trazabilidad. La decisión de despliegue, al final, es una decisión de gobierno del dato. Merece el mismo cuidado que pones en preparar la oferta.

El despliegue correcto es el que responde a la vez a tus pliegos, a tu capacidad de operación y a tu política de datos. Todo lo demás se ajusta después.

Decide dónde se despliega, qué proveedor de IA interviene y qué queda registrado.

Ver el despliegue self-hosted

Preguntas frecuentes

¿Qué diferencia hay entre el SaaS gestionado y el self-hosted de Genlicit?

En SaaS gestionado, el proveedor opera toda la infraestructura (actualizaciones, copias, vigilancia y disponibilidad) y tu equipo trabaja desde el navegador; los datos viven en la infraestructura del servicio con las garantías que se pacten. En self-hosted, Genlicit se despliega dentro de tu perímetro (un VPS dedicado, tu nube privada o servidores propios) y los datos no salen de tu entorno; la operación la asume tu equipo o el proveedor sobre tu infraestructura. El SaaS gana en rapidez y en menor carga de gestión; el self-hosted, en control del dato y de los accesos. La modalidad adecuada depende de tus requisitos contractuales y de tu capacidad real de operación.

¿Puedo elegir qué proveedor de IA utiliza Genlicit?

Sí. Genlicit funciona con el modelo BYOK (aporta tu propia clave): el cliente aporta las claves de su proveedor de IA y elige qué proveedor se usa. La relación contractual con ese proveedor es tuya, con tus condiciones de retención y de uso del contenido, y el consumo se factura contra tu cuenta. Puedes cambiar de proveedor si tu política lo requiere. Conviene revisar las condiciones del proveedor elegido con tu asesoría de protección de datos, porque determinan dónde se procesa el contenido y qué se hace con él.

¿Genlicit puede funcionar con modelos de IA locales, sin enviar nada a un proveedor externo?

Hoy no. Los modelos de IA locales no están integrados actualmente. Para determinadas operaciones (por ejemplo, analizar un pliego) el contenido necesario se envía al proveedor de IA que hayas elegido. El despliegue self-hosted mantiene los datos en reposo dentro de tu perímetro, pero las operaciones que requieren IA siguen enviando el contenido al proveedor externo. Si necesitas que cierto contenido no salga nunca de tus instalaciones, conviene decidir durante la implantación qué documentos se procesan con IA y cuáles no.

¿El despliegue self-hosted cumple automáticamente el ENS o la ISO 27001?

No. Ningún despliegue certifica por sí mismo el Esquema Nacional de Seguridad ni la ISO/IEC 27001. El ENS (Real Decreto 311/2022) clasifica los sistemas en categorías básica, media y alta según el impacto de un incidente, y la valoración, las medidas y la auditoría corresponden a la entidad responsable, no al producto. La certificación ISO 27001 la emite una entidad acreditada tras auditar tu sistema de gestión. Genlicit organiza el trabajo y genera evidencia; un despliegue dentro de tu perímetro facilita alinear el sistema con las medidas que exija tu categoría, pero no las aplica por sí solo.

¿Qué datos personales de los expedientes están sujetos al RGPD y la LOPDGDD?

Los expedientes suelen incluir datos personales: nombres, currículos, titulaciones, certificaciones y datos de contacto del equipo adscrito, firmas y, en algunos contratos, información sensible. Su tratamiento se rige por el Reglamento UE 2016/679 (RGPD) y por la Ley Orgánica 3/2018 (LOPDGDD). Cuando un tercero trata esos datos por cuenta de tu empresa, el artículo 28 del RGPD exige un contrato de encargo de tratamiento que fije objeto, duración, naturaleza y finalidad, y prohíbe subcontratar a otro encargado sin tu autorización. Si envías contenido a un proveedor de IA, conviene analizar su papel como posible subencargado.

¿Qué queda registrado para una auditoría?

Genlicit registra la actividad relevante para que cualquier resultado pueda comprobarse: las llamadas a los modelos de IA (qué se envió, a qué proveedor y qué se recibió), las lecturas y accesos a documentos y datos, las versiones de los documentos y de los resultados, y la actividad de los usuarios (quién hizo qué y cuándo). Ese registro es la base para responder ante un cliente o un órgano de contratación sobre cómo se trató su información, y complementa la trazabilidad del análisis de pliegos, donde cada dato conserva su cita literal y su página de origen.

¿Cómo funciona la licencia y el coste en self-hosted?

En self-hosted la licencia del software es perpetua: pagas por el derecho de uso y lo conservas. Aparte van dos consumos que dependen de tu actividad real: el de los modelos de IA (que pagas a tu proveedor mediante BYOK) y el de Datalab para el procesamiento de documentos. A eso se suma el coste de operar tu infraestructura, que asumes tú o el proveedor según el acuerdo. En la modalidad de servicio gestionado el esquema es de suscripción, con el consumo facturado según uso. Cuál conviene depende del volumen, de si ya tienes infraestructura y equipo, y del horizonte temporal.

Del conocimiento de tu empresa a una decisión explicada

Analizamos cómo licita tu departamento antes de definir la implantación.