Security

Arquitectura Zero Trust aplicada a la videoconferència empresarial

Digital Samba
by Digital Samba
10 min read
May 22, 2026 6:00:01 AM

La videoconferència és avui un dels canals operatius més importants de qualsevol empresa, gran o petita. Entrevistes de selecció, reunions de junta directiva, consultes amb clients, formació interna, presentacions comercials: tot passa per Zoom, Teams, Meet o plataformes incrustades. Aquesta dependència té un cost en termes de risc: phishing, segrest de reunions, accessos no autoritzats a informació sensible i incompliments normatius han deixat de ser incidents puntuals per convertir-se en preocupacions diàries.

Un recordatori contundent va arribar el març de 2024, quan es va fer públic que un atac cibernètic rus havia interceptat una videotrucada militar alemanya en què oficials sèniors discutien míssils de llarg abast i possibles objectius. La bretxa va ocórrer perquè la reunió s'havia fet per un canal no segur (la plataforma WebEx, però amb una configuració insegura). Si una força de defensa nacional pot caure víctima d'una cosa així, una pime que confia en eines genèriques o mal configurades ho té encara més difícil.

L'enfocament tradicional de seguretat perimetral, basat a protegir les "muralles" de la xarxa corporativa, s'ha quedat curt en un món híbrid on els empleats, dispositius i aplicacions operen fora del tallafoc de l'oficina. Aquí entra l'arquitectura Zero Trust (ZTA): un model que parteix del supòsit que cap usuari, dispositiu o aplicació mereix confiança per defecte, ni dins ni fora de la xarxa. Cada accés s'ha de verificar, autenticar i autoritzar.

Aquest article explica què és Zero Trust en el context de la videoconferència, quins són els seus principis segons NIST, com s'alinea amb la normativa europea (RGPD, NIS2, DORA), i com una pime catalana o europea pot començar a implementar-lo de manera realista.

Taula de continguts

  1. Què és l'arquitectura Zero Trust
  2. Per què la videoconferència necessita Zero Trust
  3. Els cinc principis Zero Trust segons NIST
  4. Zero Trust i el marc regulador europeu
  5. Construir o comprar: com aplicar Zero Trust a la videoconferència
  6. Com Digital Samba s'alinea amb Zero Trust
  7. Passos per a una implementació real
  8. Preguntes freqüents

Què és l'arquitectura Zero Trust

Zero Trust és un model de seguretat que assumeix que cap usuari, dispositiu o aplicació mereix confiança per defecte. Cada sol·licitud d'accés s'ha de verificar, autenticar i autoritzar, independentment d'on s'origini. Això representa un canvi respecte a l'estratègia tradicional del "castell amb fossat", on un cop dins del perímetre de la xarxa, els usuaris tenien accés ampli als sistemes i a les dades.

Aplicat a la videoconferència, Zero Trust significa que:

  • Cada participant s'autentica abans d'entrar. Només persones verificades poden accedir-hi, cosa que redueix el risc de suplantació o accés no autoritzat.
  • L'accés a les sessions i al contingut compartit està estrictament controlat. Els permisos per rol garanteixen que cada participant només vegi o interactuï amb la informació que li pertoca.
  • Les dades, incloent xats, enregistraments i transcripcions, es xifren i es monitoren. Això proporciona confidencialitat i traçabilitat alhora, permetent demostrar el compliment durant auditories.
  • Els dispositius que es connecten es validen contínuament. Aplicant polítiques com pegats del sistema operatiu actualitzats o antivirus al dia, es minimitzen vulnerabilitats introduïdes per endpoints insegurs.

El model va ser formalitzat per l'Institut Nacional d'Estàndards i Tecnologia (NIST) dels EUA al document Special Publication 800-207, publicat el 2020. És la referència tècnica estàndard a tot el món.

Per què la videoconferència necessita Zero Trust

La videoconferència és un vector crític tant de productivitat com de risc. Les pimes la fan servir per a feines diàries d'equip, però també per a:

  • Selecció de personal i entrevistes virtuals (amb dades de candidats que són dades personals).
  • Reunions de consell d'administració amb informació estratègica.
  • Trucades comercials i presentacions a clients.
  • Compartició de propietat intel·lectual, contractes o dades financeres.

La naturalesa d'aquestes sessions converteix les videotrucades en un objectiu atractiu. Els riscos més habituals són:

  • Segrest de reunions ("Zoombombing"): persones no convidades que entren i interrompen.
  • Fuita de dades: converses sensibles enregistrades i filtrades.
  • Robatori de credencials: enllaços de reunió robats o autenticació feble explotada.
  • Incompliment normatiu: protecció inadequada de dades personals (PII) o de salut, vulnerant el RGPD o normatives sectorials.

Amb el treball híbrid difuminant el perímetre tradicional, no es pot confiar només en VPN i tallafocs. Zero Trust aporta el control granular basat en identitat i context que la videoconferència necessita.

Els cinc principis Zero Trust segons NIST

NIST i els principals referents en ciberseguretat coincideixen en cinc principis. Aplicats a la videoconferència, garanteixen que les sessions siguin segures, conformes i utilitzables.

1. Verificar explícitament

L'autenticació ha d'anar més enllà de l'usuari i la contrasenya:

  • MFA (autenticació multifactor) obligatòria per a amfitrions i, sempre que sigui possible, per a participants.
  • SSO (single sign-on) integrat amb proveïdors d'identitat com Microsoft Entra ID (abans Azure AD), Okta o Google Workspace.
  • Factors contextuals: salut del dispositiu, ubicació, hora d'accés, determinen el nivell de confiança.

2. Mínim privilegi

No tots els participants necessiten control total:

  • Els convidats poden veure contingut sense permís per compartir pantalla.
  • Els privilegis d'enregistrament es limiten a rols específics (per exemple, responsables de compliment).
  • L'accés a sales separades s'assigna per rol i necessitat.

3. Assumir la bretxa

Sempre cal operar com si la compromesa fos possible:

  • Xifratge d'extrem a extrem activable per a sessions sensibles.
  • Monitorització en temps real per detectar anomalies.
  • Alertes davant activitats sospitoses, com intents repetits d'inici de sessió fallits.

4. Monitorització i validació contínues

La confiança no és permanent:

  • Es comprova contínuament la conformitat dels dispositius (antivirus actualitzat, sistema pegat).
  • L'analítica de sessió detecta patrons inusuals (múltiples inicis de sessió des de geografies diferents).
  • Els registres d'interaccions (compartició de pantalla, xat, càrrega de fitxers) es desen de manera segura per a auditories.

5. Microsegmentació

Fins i tot dins d'una mateixa reunió, les dades sensibles s'haurien de compartimentar:

  • Un assessor jurídic pot accedir a documents que un contractista extern no veu.
  • El contingut enregistrat se segmenta per departament i es desa amb controls d'accés.

Zero Trust i el marc regulador europeu

A diferència del context nord-americà, on Zero Trust és principalment un estàndard tècnic recomanat, a la UE s'integra cada cop més en obligacions legals concretes. Els principals eixos:

  • RGPD i LOPDGDD. El principi de "protecció de dades des del disseny i per defecte" (article 25 del RGPD) s'alinea naturalment amb Zero Trust: minimització, control d'accés, registre d'activitats. Una arquitectura Zero Trust ben implementada facilita demostrar el compliment.

  • NIS2 (Directiva 2022/2555). Transposada a Espanya el 2025, amplia les obligacions de ciberseguretat a un ventall molt més ampli d'organitzacions: sanitat, energia, aigua, infraestructura digital, serveis postals, gestió de residus, fabricació crítica. Els requisits inclouen mesures tècniques i organitzatives proporcionades, gestió de riscos en la cadena de subministrament i notificació d'incidents en 24-72 hores. Zero Trust és un dels enfocaments recomanats per ENISA per complir-los.

  • DORA (Reglament 2022/2554). En vigor des del 17 de gener de 2025, s'aplica al sector financer (bancs, assegurances, gestores d'inversió, criptomercats). Exigeix gestió rigorosa del risc TIC, proves de resiliència operativa, gestió d'incidents i supervisió de proveïdors externs (com plataformes de videoconferència). Per a entitats financeres catalanes, complir DORA a la plataforma de videoconferència és ara un requisit legal directe.

  • ENS (Esquema Nacional de Seguretat). Per a totes les administracions públiques espanyoles. Obligatori per a Generalitat, ajuntaments, universitats públiques, sector salut públic.

Per a una pime catalana, el missatge pràctic és clar: aplicar Zero Trust no és només bona pràctica, és cada cop més una obligació legal, especialment en sectors regulats.

Construir o comprar: com aplicar Zero Trust a la videoconferència

Una pime que vol implementar Zero Trust a la seva videoconferència té dues opcions:

Construir. Desenvolupar una solució pròpia o muntar una arquitectura amb components separats (proveïdor d'identitat, xifratge, gateway, monitorització). Permet personalització màxima però exigeix inversió significativa en desenvolupament, expertesa en compliment i gestió contínua de seguretat. Realista només per a empreses amb equips tècnics dedicats.

Comprar. Adoptar una plataforma que ja incorpori Zero Trust per disseny. Per a la majoria de pimes, és l'opció més raonable: temps d'implementació més curt, certificacions ja obtingudes pel proveïdor, i transferència de bona part de la responsabilitat operativa.

Si tries comprar, els criteris clau a verificar són:

  • Suport real per a MFA i SSO amb el teu proveïdor d'identitat.
  • Xifratge d'extrem a extrem disponible quan calgui.
  • Control granular d'accés per rols, aplicat al servidor (no només a la interfície d'usuari).
  • Registre d'activitats apte per a auditoria.
  • Compliment del RGPD documentat amb DPA disponible.
  • Infraestructura ubicada a la UE per a entitats subjectes a NIS2 o DORA.

Com Digital Samba s'alinea amb Zero Trust

Per a pimes que busquen una solució pràctica i preparada, Digital Samba ofereix una plataforma de videoconferència dissenyada amb seguretat, compliment i principis Zero Trust al nucli. Els punts on encaixa amb cada principi NIST:

  • Identitat i accés (verificació explícita). La plataforma integra fluxos d'autenticació segurs: sales protegides per contrasenya, accés basat en tòkens d'àmbit limitat, integració SSO. L'API utilitza tòkens d'autenticació amb caducitat configurable, generats per a cada sessió.

  • Permisos granulars (mínim privilegi). Control d'accés basat en rols (amfitrió, moderador, participant) aplicat al servidor, no només a la interfície. Això vol dir que un usuari amb un rol restringit no pot saltar-se els permisos manipulant el client.

  • Xifratge en trànsit i en repòs (assumir la bretxa). Totes les connexions fan servir TLS 1.3 quan està disponible (TLS 1.2 com a mínim, TLS 1.0/1.1 desactivats). Els fluxos de mitjans es protegeixen amb DTLS-SRTP. Les dades emmagatzemades (enregistraments, xats, fitxers compartits, còpies de seguretat) es xifren amb AES-256-GCM. Hi ha xifratge d'extrem a extrem opcional per a sessions sensibles, basat en AES-256-GCM via Web Crypto API: quan s'activa, ni el servidor de Digital Samba pot accedir al contingut.

  • Monitorització contínua i infraestructura segura. Tota la producció s'executa a infraestructura europea (Leaseweb Països Baixos i Scaleway França/PB/Polònia), amb còpies de seguretat a Leaseweb Alemanya. Hi ha registres d'activitats per a auditoria, i la resposta a incidents segueix una classificació de quatre nivells de gravetat amb notificació al CISO en una hora per a casos crítics.

  • Compliment per disseny. Digital Samba és encarregat del tractament sota el RGPD amb DPA disponible. El Security White Paper (març de 2026) documenta cada categoria de tractament. L'empresa està construint un sistema de gestió de seguretat de la informació prenent ISO 27001:2022 com a referència.

  • Escalabilitat per a creixement de pimes. El disseny API-first i les opcions white-label permeten incrustar la videoconferència en aplicacions pròpies o de cara al client, mantenint el control sobre els fluxos de dades en lloc de cedir-los a una plataforma separada.

Passos per a una implementació real

Implementar Zero Trust en videoconferència requereix un enfocament esglaonat, no una migració big-bang.

Pas 1. Avalua la situació actual. Mapa com fa servir l'organització la videoconferència (interna, externa, selecció de personal, atenció a clients). Identifica els fluxos sensibles on el compliment és crític. Audita la plataforma actual: autenticació, xifratge, control d'accés.

Pas 2. Defineix polítiques i requisits. Estableix línies base (MFA obligatori per a amfitrions, retenció màxima d'enregistraments, etc.). Determina els rols i privilegis per a empleats i col·laboradors externs. Si estàs subjecte a NIS2 o DORA, alinea les polítiques amb els requisits específics del sector.

Pas 3. Selecciona o adapta la plataforma. Si construeixes, dissenya al voltant de la gestió d'identitat i el xifratge des del primer dia. Si compres, avalua proveïdors per la seva preparació Zero Trust, certificacions de compliment i capacitats d'integració. Demana sempre el security white paper.

Pas 4. Desplega i forma. Configura MFA, SSO i polítiques d'accés condicional. Forma els equips en bones pràctiques (com verificar enllaços de reunió legítims, per exemple). Fes simulacions específiques per rol: una entrevista segura, una reunió de consell, una sessió amb un client extern.

Pas 5. Monitora i itera. Revisa contínuament els registres d'accés i els informes d'amenaces. Ajusta polítiques a mesura que canvien les regulacions i les amenaces. Fes servir analítica per millorar l'experiència d'usuari sense comprometre la seguretat.

Preguntes freqüents

Quina diferència hi ha entre Zero Trust i seguretat tradicional?

La seguretat tradicional és perimetral: hi ha una "frontera" (la xarxa corporativa, el VPN), i un cop dins, els usuaris tenen accés relativament ampli. Zero Trust elimina aquesta distinció: cada accés s'avalua individualment, cada cop, amb independència d'on s'origini. Per a equips remots i híbrids, on no hi ha perímetre clar, és l'única estratègia que funciona.

Una pime petita necessita realment Zero Trust?

Depèn del sector. Per a una empresa de cinc persones que ven productes locals, probablement no calen totes les capes. Per a una clínica privada amb dades de pacients, una assessoria que tracta documents financers, o qualsevol empresa subjecta a NIS2 o DORA, sí. La regla pràctica: si una bretxa de dades et podria portar a multes del RGPD o a perdre clients, la inversió en Zero Trust és barata comparada amb el risc.

Quant costa implementar Zero Trust?

Si parteixes de zero amb tot l'stack TI, pot ser una inversió significativa (sistema d'identitat, formació, eines de monitorització). Si fas servir serveis al núvol moderns que ja inclouen aquestes capacitats (Microsoft 365 amb Entra ID, Google Workspace, plataformes de videoconferència preparades per a Zero Trust), el cost real és sobretot de configuració i adopció. Per a una pime, parlem d'unes desenes a unes centenes d'euros mensuals per usuari per a un stack complet.

MFA és suficient per dir que tinc Zero Trust?

No. MFA és un component, però Zero Trust és un model arquitectònic complet. Una organització amb MFA però sense control granular per rols, sense monitorització contínua i amb un VPN com a porta d'entrada única no fa Zero Trust: només té autenticació millor. Zero Trust real exigeix repensar els fluxos d'accés des de zero.

Què passa amb la usabilitat? No farà l'autenticació molt feixuga?

És el risc més habitual i el motiu pel qual moltes implementacions Zero Trust fracassen. Si cada acció demana una nova autenticació, els usuaris busquen dreceres insegures. La clau és combinar SSO amb factors contextuals: si el dispositiu és conegut, l'usuari està en una ubicació habitual i l'hora és normal, l'experiència és tan fluida com sense Zero Trust. Només quan canvia el context apareixen verificacions addicionals.

Quina certificació hauria de tenir un proveïdor de videoconferència alineat amb Zero Trust?

ISO 27001 (gestió de seguretat de la informació) és el bàsic. SOC 2 Type II afegeix garanties operatives. Per a sector públic espanyol, conformitat amb l'ENS. Per a sanitat, HIPAA (si treballes amb mercat americà) o HDS (a França). Però la certificació no substitueix l'avaluació tècnica: demana sempre el security white paper i comprova els compromisos d'arquitectura, no només els segells.

Back to top
Previous story
← Sobirania digital al núvol: jurisdicció vs. ubicació del servidor
Sobirania digital al núvol: jurisdicció vs. ubicació del servidor
Sovereign Cloud Explained - Digital Samba
Security

Sobirania digital al núvol: jurisdicció vs. ubicació del servidor

May 20, 2026 6:00:00 AM 10 min read
Com solucionar l'eco del micròfon en una videoconferència
How to Fix an Echoing Microphone While Video Conferencing
Video Conferencing

Com solucionar l'eco del micròfon en una videoconferència

May 8, 2026 6:00:00 AM 6 min read
El RGPD obliga a allotjar les dades a la UE? El que cal saber
GDPR and EU Data Hosting: What You Need to Know
Security

El RGPD obliga a allotjar les dades a la UE? El que cal saber

Apr 29, 2026 6:00:00 AM 7 min read