La soberanía del dato ya no se discute solo en despachos jurídicos o en comités de cumplimiento. En 2026, con el ransomware convertido en riesgo operativo y con la nube como pieza estructural de la mayoría de arquitecturas, la pregunta se ha vuelto mucho más práctica: ¿quién controla dónde vive el dato, quién opera el entorno y quién tiene las llaves del cifrado cuando llega una crisis? Con esa premisa, Commvault ha anunciado Commvault Geo Shield, un enfoque de solución diseñado para proteger y recuperar información crítica manteniendo el control sobre la localización del dato, la operación de los entornos y la custodia de las claves.
La compañía —especializada en copia de seguridad, recuperación y ciberresiliencia— enmarca Geo Shield como respuesta a un patrón cada vez más común en empresas y administraciones: migrar cargas a la nube, pero sin renunciar a requisitos de residencia de datos, control operativo, limitaciones de soporte transfronterizo y, sobre todo, gobernanza del cifrado. En sectores regulados, la capacidad de recuperar no basta si el diseño no garantiza que el proceso de recuperación no rompe las reglas del juego.
Separar “quién manda” de “dónde está el dato”
En el núcleo del anuncio aparece un concepto técnico que, dicho de forma sencilla, busca resolver tensiones clásicas: Commvault basa Geo Shield en una arquitectura que separa el plano de control del plano de datos, con el objetivo de permitir a cada organización decidir dónde se almacena la información, cómo se protege y quién controla el acceso dentro de entornos operados por el cliente o por socios locales.
Para los responsables de sistemas y seguridad, esa separación apunta a un objetivo claro: evitar dependencias operativas no deseadas. En determinados marcos —por ejemplo, entornos con obligación de “no call home” o con operación delegada en partners nacionales— el control remoto y los flujos de telemetría pueden convertirse en un problema contractual o normativo. Geo Shield incorpora explícitamente ese tipo de límites: operar “dentro de fronteras”, con condiciones de operación gestionadas por socios locales verificados.
Cuatro vías de despliegue: del SaaS en región local al modelo soberano “privado”
Commvault presenta Geo Shield como un paraguas para distintos patrones de despliegue, adaptados a necesidades de soberanía y cumplimiento que no son idénticas entre países ni entre sectores. En el anuncio se detallan cuatro enfoques:
- Commvault Cloud SaaS en regiones locales de hiperescalares, cuando existen, para cumplir requisitos de residencia.
- Commvault Cloud SaaS en regiones soberanas de hiperescalares, con soporte inicial para entornos como AWS European Sovereign Cloud, y con ampliaciones previstas a otras regiones soberanas.
- Ofertas soberanas operadas por partners, de forma que proveedores locales cualificados puedan ofrecer servicios soberanos nacionales o regionales usando software de Commvault y protección air-gapped (aislada).
- Despliegues soberanos privados, operados por el propio cliente o por socios designados en entornos dedicados.
El enfoque refleja una realidad de mercado: la soberanía no es “sí o no”. En muchas organizaciones conviven datos y cargas con distintos niveles de sensibilidad, y la arquitectura acaba siendo híbrida por diseño.
Claves bajo control del cliente: BYOK, HYOK y HSM
Si hay un punto que se repite en conversaciones de ciberresiliencia en entornos regulados, es el control del cifrado. Geo Shield subraya modelos de Bring Your Own Key (BYOK) y Hold Your Own Key (HYOK), además de integración con módulos de seguridad hardware (HSM) gestionados por el cliente o por partners.
En términos prácticos, esto persigue dos efectos: reducir el riesgo de dependencia del proveedor y facilitar el encaje con políticas internas donde la custodia de claves no puede delegarse fuera de la organización (o solo puede delegarse bajo esquemas muy concretos). En un escenario de recuperación tras incidente, esa diferencia puede determinar si una empresa puede restaurar servicios con normalidad o si queda atrapada entre requisitos de cumplimiento y urgencia operativa.
El encaje europeo: nube soberana y exigencia regulatoria
Commvault no esconde el contexto: la demanda de opciones soberanas crece a la vez que se acelera la adopción cloud. Y en Europa, el debate ha ganado tracción con el avance de marcos como NIS2 y DORA, que endurecen expectativas de gestión del riesgo, resiliencia y continuidad en múltiples sectores. En ese sentido, la compañía destaca que ya soporta una lista amplia de requisitos y estándares, desde FedRAMP High, FIPS 140-3 y GovRAMP hasta marcos sectoriales como HIPAA o PCI DSS v4.0, además de referencias explícitas a DORA y NIS2.
La mención a AWS European Sovereign Cloud también es significativa por el momento en el calendario: AWS ha comunicado la disponibilidad general de su nube soberana europea como infraestructura separada física y lógicamente dentro de la UE, empezando por una región en Brandeburgo (Alemania) y con planes de expansión mediante “Local Zones” soberanas en Bélgica, Países Bajos y Portugal, entre otros elementos de aislamiento operativo. En diciembre de 2025, Commvault ya había anunciado que sería “launch partner” de esa nube soberana europea, y Geo Shield se alinea con esa estrategia.
Disponibilidad y próximos pasos
Commvault ha indicado que la disponibilidad de modelos específicos adicionales de Geo Shield se anunciará por separado, en función de los plazos de implementación con partners y regiones relevantes. Para clientes, esto suele traducirse en una hoja de ruta donde el “qué” está definido (patrones de soberanía), pero el “cuándo” depende del aterrizaje operacional y comercial en cada país y de la madurez del ecosistema local de proveedores.
En un mercado donde el ransomware fuerza a diseñar recuperaciones realistas (y no solo planes sobre papel), Geo Shield busca ocupar un espacio muy concreto: el de organizaciones que quieren nube e innovación, pero exigen mantener el mando sobre operación, residencia y cifrado.
Preguntas frecuentes
¿Qué problema intenta resolver Commvault Geo Shield en entornos regulados?
Permitir ciberresiliencia y recuperación manteniendo control sobre dónde se almacenan los datos, cómo se operan los entornos y quién custodia las claves de cifrado.
¿Qué significa “no call home” y por qué importa en soberanía del dato?
Implica operar sin dependencias críticas de telemetría o gestión hacia servicios externos. En ciertos sectores, limita la exposición y facilita el cumplimiento al mantener operaciones bajo control local.
¿BYOK y HYOK son lo mismo?
No. BYOK suele permitir aportar claves propias dentro de un esquema gestionado; HYOK eleva el control manteniendo la custodia de claves en manos del cliente, típicamente con soporte de HSM.
¿Qué tipo de organizaciones se benefician más de un enfoque como Geo Shield?
Administraciones públicas, finanzas, sanidad, industria crítica y empresas con requisitos estrictos de residencia de datos, control operativo y auditoría de recuperación ante ciberincidentes.
vía: commvault
