La videoconferència és avui un dels canals operatius més importants de qualsevol empresa, gran o petita. Entrevistes de selecció, reunions de junta directiva, consultes amb clients, formació interna, presentacions comercials: tot passa per Zoom, Teams, Meet o plataformes incrustades. Aquesta dependència té un cost en termes de risc: phishing, segrest de reunions, accessos no autoritzats a informació sensible i incompliments normatius han deixat de ser incidents puntuals per convertir-se en preocupacions diàries.
Un recordatori contundent va arribar el març de 2024, quan es va fer públic que un atac cibernètic rus havia interceptat una videotrucada militar alemanya en què oficials sèniors discutien míssils de llarg abast i possibles objectius. La bretxa va ocórrer perquè la reunió s'havia fet per un canal no segur (la plataforma WebEx, però amb una configuració insegura). Si una força de defensa nacional pot caure víctima d'una cosa així, una pime que confia en eines genèriques o mal configurades ho té encara més difícil.
L'enfocament tradicional de seguretat perimetral, basat a protegir les "muralles" de la xarxa corporativa, s'ha quedat curt en un món híbrid on els empleats, dispositius i aplicacions operen fora del tallafoc de l'oficina. Aquí entra l'arquitectura Zero Trust (ZTA): un model que parteix del supòsit que cap usuari, dispositiu o aplicació mereix confiança per defecte, ni dins ni fora de la xarxa. Cada accés s'ha de verificar, autenticar i autoritzar.
Aquest article explica què és Zero Trust en el context de la videoconferència, quins són els seus principis segons NIST, com s'alinea amb la normativa europea (RGPD, NIS2, DORA), i com una pime catalana o europea pot començar a implementar-lo de manera realista.
Taula de continguts
Zero Trust és un model de seguretat que assumeix que cap usuari, dispositiu o aplicació mereix confiança per defecte. Cada sol·licitud d'accés s'ha de verificar, autenticar i autoritzar, independentment d'on s'origini. Això representa un canvi respecte a l'estratègia tradicional del "castell amb fossat", on un cop dins del perímetre de la xarxa, els usuaris tenien accés ampli als sistemes i a les dades.
Aplicat a la videoconferència, Zero Trust significa que:
El model va ser formalitzat per l'Institut Nacional d'Estàndards i Tecnologia (NIST) dels EUA al document Special Publication 800-207, publicat el 2020. És la referència tècnica estàndard a tot el món.
La videoconferència és un vector crític tant de productivitat com de risc. Les pimes la fan servir per a feines diàries d'equip, però també per a:
La naturalesa d'aquestes sessions converteix les videotrucades en un objectiu atractiu. Els riscos més habituals són:
Amb el treball híbrid difuminant el perímetre tradicional, no es pot confiar només en VPN i tallafocs. Zero Trust aporta el control granular basat en identitat i context que la videoconferència necessita.
NIST i els principals referents en ciberseguretat coincideixen en cinc principis. Aplicats a la videoconferència, garanteixen que les sessions siguin segures, conformes i utilitzables.
L'autenticació ha d'anar més enllà de l'usuari i la contrasenya:
No tots els participants necessiten control total:
Sempre cal operar com si la compromesa fos possible:
La confiança no és permanent:
Fins i tot dins d'una mateixa reunió, les dades sensibles s'haurien de compartimentar:
A diferència del context nord-americà, on Zero Trust és principalment un estàndard tècnic recomanat, a la UE s'integra cada cop més en obligacions legals concretes. Els principals eixos:
RGPD i LOPDGDD. El principi de "protecció de dades des del disseny i per defecte" (article 25 del RGPD) s'alinea naturalment amb Zero Trust: minimització, control d'accés, registre d'activitats. Una arquitectura Zero Trust ben implementada facilita demostrar el compliment.
NIS2 (Directiva 2022/2555). Transposada a Espanya el 2025, amplia les obligacions de ciberseguretat a un ventall molt més ampli d'organitzacions: sanitat, energia, aigua, infraestructura digital, serveis postals, gestió de residus, fabricació crítica. Els requisits inclouen mesures tècniques i organitzatives proporcionades, gestió de riscos en la cadena de subministrament i notificació d'incidents en 24-72 hores. Zero Trust és un dels enfocaments recomanats per ENISA per complir-los.
DORA (Reglament 2022/2554). En vigor des del 17 de gener de 2025, s'aplica al sector financer (bancs, assegurances, gestores d'inversió, criptomercats). Exigeix gestió rigorosa del risc TIC, proves de resiliència operativa, gestió d'incidents i supervisió de proveïdors externs (com plataformes de videoconferència). Per a entitats financeres catalanes, complir DORA a la plataforma de videoconferència és ara un requisit legal directe.
ENS (Esquema Nacional de Seguretat). Per a totes les administracions públiques espanyoles. Obligatori per a Generalitat, ajuntaments, universitats públiques, sector salut públic.
Per a una pime catalana, el missatge pràctic és clar: aplicar Zero Trust no és només bona pràctica, és cada cop més una obligació legal, especialment en sectors regulats.
Una pime que vol implementar Zero Trust a la seva videoconferència té dues opcions:
Construir. Desenvolupar una solució pròpia o muntar una arquitectura amb components separats (proveïdor d'identitat, xifratge, gateway, monitorització). Permet personalització màxima però exigeix inversió significativa en desenvolupament, expertesa en compliment i gestió contínua de seguretat. Realista només per a empreses amb equips tècnics dedicats.
Comprar. Adoptar una plataforma que ja incorpori Zero Trust per disseny. Per a la majoria de pimes, és l'opció més raonable: temps d'implementació més curt, certificacions ja obtingudes pel proveïdor, i transferència de bona part de la responsabilitat operativa.
Si tries comprar, els criteris clau a verificar són:
Per a pimes que busquen una solució pràctica i preparada, Digital Samba ofereix una plataforma de videoconferència dissenyada amb seguretat, compliment i principis Zero Trust al nucli. Els punts on encaixa amb cada principi NIST:
Identitat i accés (verificació explícita). La plataforma integra fluxos d'autenticació segurs: sales protegides per contrasenya, accés basat en tòkens d'àmbit limitat, integració SSO. L'API utilitza tòkens d'autenticació amb caducitat configurable, generats per a cada sessió.
Permisos granulars (mínim privilegi). Control d'accés basat en rols (amfitrió, moderador, participant) aplicat al servidor, no només a la interfície. Això vol dir que un usuari amb un rol restringit no pot saltar-se els permisos manipulant el client.
Xifratge en trànsit i en repòs (assumir la bretxa). Totes les connexions fan servir TLS 1.3 quan està disponible (TLS 1.2 com a mínim, TLS 1.0/1.1 desactivats). Els fluxos de mitjans es protegeixen amb DTLS-SRTP. Les dades emmagatzemades (enregistraments, xats, fitxers compartits, còpies de seguretat) es xifren amb AES-256-GCM. Hi ha xifratge d'extrem a extrem opcional per a sessions sensibles, basat en AES-256-GCM via Web Crypto API: quan s'activa, ni el servidor de Digital Samba pot accedir al contingut.
Monitorització contínua i infraestructura segura. Tota la producció s'executa a infraestructura europea (Leaseweb Països Baixos i Scaleway França/PB/Polònia), amb còpies de seguretat a Leaseweb Alemanya. Hi ha registres d'activitats per a auditoria, i la resposta a incidents segueix una classificació de quatre nivells de gravetat amb notificació al CISO en una hora per a casos crítics.
Compliment per disseny. Digital Samba és encarregat del tractament sota el RGPD amb DPA disponible. El Security White Paper (març de 2026) documenta cada categoria de tractament. L'empresa està construint un sistema de gestió de seguretat de la informació prenent ISO 27001:2022 com a referència.
Escalabilitat per a creixement de pimes. El disseny API-first i les opcions white-label permeten incrustar la videoconferència en aplicacions pròpies o de cara al client, mantenint el control sobre els fluxos de dades en lloc de cedir-los a una plataforma separada.
Implementar Zero Trust en videoconferència requereix un enfocament esglaonat, no una migració big-bang.
Pas 1. Avalua la situació actual. Mapa com fa servir l'organització la videoconferència (interna, externa, selecció de personal, atenció a clients). Identifica els fluxos sensibles on el compliment és crític. Audita la plataforma actual: autenticació, xifratge, control d'accés.
Pas 2. Defineix polítiques i requisits. Estableix línies base (MFA obligatori per a amfitrions, retenció màxima d'enregistraments, etc.). Determina els rols i privilegis per a empleats i col·laboradors externs. Si estàs subjecte a NIS2 o DORA, alinea les polítiques amb els requisits específics del sector.
Pas 3. Selecciona o adapta la plataforma. Si construeixes, dissenya al voltant de la gestió d'identitat i el xifratge des del primer dia. Si compres, avalua proveïdors per la seva preparació Zero Trust, certificacions de compliment i capacitats d'integració. Demana sempre el security white paper.
Pas 4. Desplega i forma. Configura MFA, SSO i polítiques d'accés condicional. Forma els equips en bones pràctiques (com verificar enllaços de reunió legítims, per exemple). Fes simulacions específiques per rol: una entrevista segura, una reunió de consell, una sessió amb un client extern.
Pas 5. Monitora i itera. Revisa contínuament els registres d'accés i els informes d'amenaces. Ajusta polítiques a mesura que canvien les regulacions i les amenaces. Fes servir analítica per millorar l'experiència d'usuari sense comprometre la seguretat.