Infraestructura DNScale y operaciones UE

Esta página es la referencia operativa para la infraestructura y modelo operativo UE de DNScale — los hechos auditables detrás de lo que vendemos. Existe para dos audiencias: clientes que hacen diligencia de cadena de suministro bajo Artículo 21(2)(d) NIS2 o regulaciones equivalentes, e ingenieros que evalúan si la red de DNScale cumple sus requisitos de latencia, resiliencia y cumplimiento.

Actualizamos esta página a medida que la red cambia — nuevos PoPs, nuevos peers, nuevas certificaciones. El estado más actual está siempre aquí; la página de estado DNScale y el blog post-incidente cubren el estado operativo en vivo.

Dos redes anycast — UE y Global

DNScale opera dos redes anycast distintas, cada una con su propio número de Autonomous System (AS):

Red UE

La red UE anuncia el espacio IP de servidores de nombres solo desde PoPs ubicados en la Unión Europea y EEE, y solo a peers que enrutan los anuncios dentro de esas jurisdicciones. Resultado: una consulta de un resolutor recursivo europeo aterriza en un PoP DNScale europeo y la respuesta se computa en un servidor con jurisdicción europea. Sin tránsito por redes no-UE en condiciones normales.

La red UE es la elección correcta cuando:

• Su sector requiere servicio DNS de jurisdicción única (financiero, administración pública, energía, sanidad bajo NIS2)
• Su DPA requiere residencia de datos para tráfico de consultas
• Opera bajo mandatos UE de competencia o soberanía

Para los detalles operativos — nombres de host de servidores de nombres, política de enrutamiento, comportamiento regional — vea Delegación DNS para regiones DNScale.

Red Global

La red Global anuncia un conjunto separado de espacio IP de servidores de nombres desde PoPs distribuidos por múltiples continentes. Sirve consultas con la latencia más baja disponible mundialmente — presencia en Norteamérica, Sudamérica, Europa, Oriente Medio, África, Asia y Oceanía a medida que la red se expande.

Los clientes que no están sujetos a restricciones jurisdiccionales UE — o que tienen clientes en todo el mundo — usan típicamente la red Global o el conjunto combinado EU_GLOBAL de servidores de nombres, que prefiere PoPs UE para resolutores europeos y cae a PoPs globales en cualquier otro lugar.

Cómo fluye una consulta

Camino típico de consulta en la red UE:

1. El resolutor envía consulta UDP/53 a una de las IPs de servidores de nombres UE de DNScale (por ejemplo, ns1.dnscale.eu).
2. BGP, anunciado desde cada PoP UE bajo el AS UE de DNScale, enruta la consulta al PoP topológicamente más cercano — típicamente un salto sub-10ms desde principales metrópolis europeas.
3. El servidor autoritativo del PoP responde con la respuesta cacheada y firmada.
4. El RTT para respuestas cacheadas está dominado por el RTT de red, típicamente 5–25ms dentro de Europa.

Para la arquitectura en detalle, vea Global DNS Resolution Balancing y ¿Qué es una red DNS Anycast?.

Huella de red

Los PoPs de DNScale están en metrópolis elegidas por densidad de IXP, proximidad de redes eyeball y claridad regulatoria. El conjunto actual abarca:

• Metrópolis europeas: Frankfurt, Amsterdam, London, Paris, Madrid, Milán, Estocolmo, Varsovia (y expansión continua)
• Metrópolis globales: Nueva York, Ashburn, San Francisco, São Paulo, Singapur, Tokio, Sídney (red Global)

El estado en vivo, incluyendo cualquier PoP en mantenimiento o expansión planificada, está en la página de Red DNScale.

Peering

DNScale peerea directamente en los principales IXPs europeos:

• DE-CIX Frankfurt — el mayor IXP de Europa, ancla para nuestra presencia alemana y continental más amplia
• AMS-IX Amsterdam — intercambio holandés y noroeste europeo principal
• LINX London — alcance Reino Unido y noroeste europeo
• IXPs regionales adicionales según justifique la expansión PoP

El peering directo con principales ISPs y redes de contenido europeos acorta el camino de consulta para tráfico eyeball residencial y empresarial, elimina dependencia del tránsito para el camino caliente, y proporciona señal BGP que controlamos directamente durante respuesta a incidentes.

La red Global peerea en IXPs estratégicos en cada continente — IXPs metropolitanos Equinix en Norteamérica, intercambios región LACNIC en Sudamérica, intercambios asiáticos y oceánicos a medida que la huella global crece.

Números AS y verificación pública

DNScale opera bajo sus propios números AS — uno para la red UE y uno para la red Global. La operación a nivel AS (en lugar de operar como inquilino dentro del AS de un proveedor mayor) nos da:

• Control BGP directo para nuestros anuncios anycast
• Auditabilidad independiente a través de RIPE NCC, looking-glasses públicos y registros de rutas
• Respuesta a incidentes basada en retirada — podemos retirar un PoP no saludable de BGP en segundos sin coordinar a través de un upstream

Los números AS están publicados en nuestra página de Red y verificables vía herramientas estándar (whois -h whois.ripe.net AS{N}, bgp.tools, RIPE Stat). Patrones de tráfico entrante y prefijos anunciados son información pública por diseño — así funciona el sistema de enrutamiento.

Cumplimiento y certificaciones

La postura de cumplimiento de DNScale está construida en torno a tres anclas:

RGPD

DNScale procesa metadatos de consultas DNS como encargado de tratamiento para clientes; los marcos legales, términos del DPA y disclosures de propósito de procesamiento están en la Política de Privacidad. Elecciones notables:

• El tráfico de consultas DNS en la red UE no transita a PoPs no-UE en operación normal
• La lista de subencargados está publicada y se actualiza; los clientes son notificados antes de cambios
• Las solicitudes de acceso a datos del interesado se soportan a través del canal de contacto estándar
• Los datos fiscales y de facturación fluyen a través de Stripe, un procesador de pagos activo en la UE

NIS2

NIS2 nombra a los proveedores DNS explícitamente en el Anexo I como entidades esenciales. DNScale opera bajo el régimen supervisor nacional pertinente para su domicilio UE. La guía NIS2 y DNS cubre las obligaciones en detalle; nuestra postura específica:

• Medidas documentadas de gestión de riesgos del Artículo 21 (gestión de incidentes, criptografía, controles de cadena de suministro)
• Flujo de notificación de incidentes alineado con los plazos 24h / 72h / 1-mes
• Soporte DNSSEC con algoritmos modernos y almacenamiento de claves respaldado por HSM
• MFA en interfaces de operador y cliente, claves de API restringidas, registros de auditoría completos
• Anycast multi-región para resiliencia; preparación multi-proveedor vía Terraform / DNSControl

ISO 27001

ISO 27001 (Sistemas de Gestión de Seguridad de la Información) es la certificación de seguridad fundacional de DNScale. Alcance, estado y disponibilidad del certificado están publicados en el sitio web. Los controles ISO 27001 se mapean limpiamente al Artículo 21 NIS2, simplificando el cumplimiento para clientes que necesitan ambos.

Otras certificaciones

Certificaciones industriales adicionales (PCI DSS, HIPAA, SOC 2 Tipo II) se persiguen según demanda del cliente. El estado actual está publicado en el sitio web y se actualiza a medida que se completan auditorías. Si una certificación específica es requisito contractual para su sector, contáctenos para discutir el calendario.

Postura de seguridad y artefactos públicos

DNScale publica los artefactos de seguridad públicos convencionales:

• security.txt en /.well-known/security.txt — correo de divulgación de vulnerabilidades y política de divulgación
• Página de contacto de seguridad en /security — estado de publicación PGP e instrucciones de reporte
• Política de divulgación de vulnerabilidades documentando alcance, tiempos de respuesta esperados y disposiciones de safe-harbour para investigación de buena fe
• Informes post-incidente publicados en el blog cuando ocurren incidentes significativos (reales, técnicos, responsables)

Tratamos la transparencia post-incidente pública como portadora de confianza. Cuando nos equivocamos, decimos qué pasó, por qué, qué cambiamos y qué deberían hacer los clientes. Esa responsabilidad está en lugar de bylines de ingeniero individuales en contenido técnico — vea la discusión EEAT abajo.

Transparencia operativa sobre bylines personales

DNScale no publica bylines individuales de autor o revisor en el contenido Aprendizaje y blog. La autoridad y confianza en DNScale se construyen a nivel organizacional — a través de:

• La huella de red pública que cualquiera puede verificar vía BGP
• Certificaciones públicas e informes de auditoría
• Informes post-incidente detallados y técnicos
• Comunicación de estado específica y responsable
• Esta página — hechos operativos, no afirmaciones de marketing

Pensamos que esta es una mejor señal de confianza para un proveedor de infraestructura que las bios personales. El trabajo habla por sí solo; las operaciones son auditables; los incidentes se manejan públicamente.

Modelo operativo UE

El modelo operativo UE de DNScale se construye sobre tres principios:

1. Domicilio UE y derecho de la UE

DNScale opera como entidad domiciliada en la UE. Los contratos con clientes usan derecho de la UE y resolución de disputas UE. Esto simplifica la diligencia para clientes en el ámbito: una jurisdicción, una autoridad supervisora, default alineado con RGPD.

2. La aislación jurisdiccional UE como opción deliberada

La red anycast UE existe para que los clientes puedan confinar el tráfico de consultas DNS al espacio jurisdiccional europeo cuando lo necesiten. Muchos proveedores DNS ofrecen "presencia UE"; pocos ofrecen "solo UE". DNScale le da ambos — elija la red UE si necesita aislamiento, la red Global si necesita baja latencia mundial, el conjunto combinado EU_GLOBAL si necesita ambos con enrutamiento preferido UE.

3. Operaciones de ingeniería independientes de cualquier grupo mayor

DNScale es un proveedor independiente — no parte de un grupo mayor de telecomunicaciones, hyperscaler o holding. Ingeniería, on-call y respuesta a incidentes son dirigidos por el equipo DNScale. Esto significa que nuestros incentivos y los de nuestros clientes se alinean directamente: cuando el DNS está roto, las mismas personas que construyeron el sistema son las que responden al pager.

Dónde mirar a continuación

• Página de Red DNScale — estado de PoP en vivo, anuncios BGP, declaraciones de capacidad
• Página de Estado DNScale — estado operativo en tiempo real
• Política de Privacidad — divulgación RGPD completa
• Términos de Servicio — marco contractual
• Precios — planes, PAYG y qué se incluye
• Blog — notas de versión, informes post-incidente, escritura técnica
• security.txt — divulgación de vulnerabilidades

Lecturas relacionadas

• NIS2 y cumplimiento DNS — mapeo regulatorio para entidades en el ámbito
• Mejores proveedores DNS UE — marco de evaluación
• Proveedores DNS conformes con RGPD — marco regulatorio adyacente
• DNScale vs Cloudflare — comparación bajo jurisdicción UE
• Red DNS Anycast — cómo funciona la red subyacente
• Global DNS Resolution Balancing — cómo se guían las consultas al PoP más cercano