Comparativa de Vendedores PAM 2026: EE.UU. vs UE — Arquitectura, Seguridad y Precio
La evaluación de PAM empresarial en Europa en 2026 no es la misma decisión que era en 2022. La Directiva NIS2 de la UE ha estado en vigor desde enero de 2023; la transposición nacional de Polonia (UKSC) entró en vigor en abril de 2026, con un plazo de cumplimiento de abril de 2027 para las entidades incluidas. La aplicación de GDPR se está acelerando. La pregunta ya no es simplemente "¿cuál PAM tiene las mejores características?" — es "¿en cuál PAM puedo confiar realmente para el cumplimiento normativo de la UE, y cuál mantiene mis datos en Europa?" Este artículo compara cinco plataformas PAM líderes en cuatro dimensiones que importan más para los compradores empresariales europeos: arquitectura, posición de seguridad de la UE, modelo de precios y adecuación para infraestructura con mucho uso de RDP.
Los Cinco Vendedores
La elaboración de una lista corta de vendedores PAM en 2026 significa navegar por un mercado que abarca desde startups cloud-native con sede en EE.UU., incumbentes regulados por la UE, y una nueva ola de desafiantes fundados en la UE diseñados específicamente para la era de NIS2. Aquí es donde se sitúa cada uno de los cinco vendedores en esta comparación.
Vendedor A con sede en EE.UU. es una plataforma PAM cloud-native con sede en EE.UU. que construyó su reputación en la gestión de acceso a SSH y Kubernetes. Desde entonces se ha expandido a Windows Desktop (RDP) y acceso a bases de datos. Su modelo de precios se basa en el uso — Monthly Active Users más recursos protegidos — lo que lo hace atractivo para organizaciones con mucha carga de ingeniería con infraestructura predecible. No publica garantías de residencia de datos específicas para la UE en su sitio web público.
Vendedor B con sede en EE.UU. es una plataforma PAM multi-protocolo con sede en EE.UU. con amplia cobertura: bases de datos (PostgreSQL, MySQL, MSSQL, MongoDB), servidores (SSH, RDP), Kubernetes y servicios cloud en un único modelo de proxy. Fue adquirido por un vendedor PAM heredado importante a principios de 2026. El precio es solo por contacto con ventas en todos los niveles. La residencia de datos de la UE no se documenta públicamente.
Vendedor C con sede en la UE es una empresa que cotiza en bolsa francesa con certificación dual de BSI y ANSSI — el único vendedor en esta comparación que posee certificaciones de seguridad nacional alemana y francesa. Se dirige a PAM multi-protocolo con opciones de implementación tanto local como en la nube, y tiene una fuerte presencia de entrada al mercado en Francia y Alemania, incluida la adquisición a través de acuerdos marco del gobierno francés. El precio es solo por contacto con ventas.
Vendedor D con sede en la UE es una empresa polaca con sede en Varsovia, financiada en Serie A en 2025. Se enfoca en PAM sin agente con grabación de sesión RDP y se ha posicionado explícitamente alrededor del cumplimiento de NIS2. Como empresa con sede en Varsovia, comparte la misma jurisdicción que VaultPAM. El precio es solo por contacto con ventas.
Vendedor E con sede en la UE es una empresa que cotiza en bolsa finlandesa (bolsa nórdica) que adopta un enfoque basado en certificados sin bóveda para PAM: los certificados efímeros reemplazan completamente las credenciales almacenadas, por lo que no hay bóveda de credenciales privilegiadas que proteger. Es principalmente SSH con soporte RDP agregado. Es el único vendedor en esta comparación con compra en línea disponible a precios de nivel publicados.
Cómo Cada PAM Maneja Tu Tráfico
La arquitectura no es un detalle de implementación — determina el aspecto de tu registro de auditoría, si un agente debe instalarse en cada servidor de destino, y si las grabaciones de sesión satisfarán a un regulador que te pida verlas.
| Dimensión | VaultPAM | Vendedor A con sede en EE.UU. | Vendedor B con sede en EE.UU. | Vendedor C con sede en la UE | Vendedor D con sede en la UE | Vendedor E con sede en la UE |
|---|---|---|---|---|---|---|
| Modelo de implementación | SaaS cloud-native (GCP europe-central2) | SaaS cloud-native (multi-región) | SaaS cloud-native (multi-región) | Híbrido local + nube | SaaS cloud-native | SaaS cloud-native |
| Manejo de protocolos | Sin agente — sin agente en servidor de destino | Agente requerido en destinos Windows (Windows Desktop Service); sin agente para SSH/K8s | Proxy sin agente para todos los protocolos | Basado en agente (local) y sin agente (nube) | Sin agente | Sin agente |
| Enfoque RDP | Proxy RDP nativo — grabación completa a nivel de protocolo, sin host de salto | RDP a través de Windows Desktop Service; autenticación de tarjeta inteligente; grabación basada en capturas de pantalla documentada | Proxy RDP a través de agente; grabación de sesión incluida | Proxy RDP; puerta de enlace local o retransmisión de nube | Proxy RDP nativo; grabación de sesión incluida | RDP soportado a través de proxy; arquitectura principalmente SSH |
| Modelo de credenciales | Bóveda (AES-256-GCM, Vault Transit) + sesiones acotadas en tiempo JIT | Basado en certificados efímeros (sin credenciales almacenadas para SSH/K8s); bóveda utilizada para contraseñas de Windows | Bóveda — secretos almacenados y rotados; cero acceso permanente | Bóveda — secretos almacenados y rotados | Bóveda + JIT | Basado en certificados (sin bóveda) |
| Grabación de sesión | Sí — almacenado en GCP europe-central2; cadena de hash BLAKE3; almacenamiento WORM | Sí — grabaciones almacenadas en nube de vendedor; región no documentada públicamente | Sí — grabaciones almacenadas en nube de vendedor; región no documentada públicamente | Sí — opción de almacenamiento local disponible; región de nube no documentada públicamente | Sí — región no documentada públicamente | No documentado públicamente para RDP |
Lo Que las Diferencias de Arquitectura Significan Realmente
La elección del modelo de credenciales tiene consecuencias de cumplimiento que son fáciles de perder en una comparación de características.
PAM solo basado en certificados (sin bóveda) elimina el riesgo de compromiso de credenciales almacenadas — no hay credenciales almacenadas para robar. La arquitectura del Vendedor E con sede en la UE es genuinamente innovadora a este respecto. Sin embargo, también significa que no hay registro de auditoría de acceso a credenciales para algunos marcos normativos. Si un auditor pregunta "quién tuvo acceso a la contraseña del Administrador de Windows en este servidor entre el 1 de marzo y el 31 de marzo," la respuesta en un modelo solo de certificados es un registro de emisión de certificados — no un registro de acceso a bóveda de credenciales. Algunos reguladores y marcos de auditoría aceptan esto; otros esperan un registro de auditoría de acceso a bóveda tradicional. Sabe cuál esperan tus auditores antes de seleccionar este modelo.
Grabación RDP basada en capturas de pantalla versus grabación a nivel de protocolo es una distinción que importa para el Artículo 21 de NIS2. La grabación basada en capturas de pantalla captura lo que un usuario vio pero no captura el flujo de comando y control RDP subyacente. La grabación a nivel de protocolo captura la sesión completa: pulsaciones de teclas, transferencias del portapapeles, transferencias de archivos y salida de pantalla a nivel de protocolo. La diferencia se vuelve significativa cuando un equipo de respuesta a incidentes necesita reconstruir exactamente lo que sucedió en una sesión privilegiada — una secuencia de capturas de pantalla puede no ser suficiente. VaultPAM, el Vendedor C con sede en la UE y el Vendedor D con sede en la UE todos documentan grabación a nivel de protocolo o equivalente; el Vendedor A con sede en EE.UU. documenta grabación basada en capturas de pantalla para sesiones de Windows Desktop específicamente.
Sin agente versus basado en agente afecta el costo general de implementación en escala. Para organizaciones con cientos de servidores Windows, implementar y mantener un agente en cada destino agrega costo operativo real. Los modelos sin agente (VaultPAM, Vendedor D con sede en la UE, Vendedor B con sede en EE.UU.) se conectan a través de un proxy central sin tocar la pila de software del servidor de destino.
Soberanía de Datos, Certificaciones y Profundidad de Cumplimiento de NIS2
La posición de seguridad de la UE es cada vez más una puerta de entrada de adquisición — no un "buen tener". Para organizaciones sujetas a NIS2, GDPR o regulaciones específicas del sector (DORA, UKSC, ley de ciberseguridad polaca), la jurisdicción del vendedor y la posición de certificación determinan si la herramienta está ni siquiera en la lista.
| Dimensión | VaultPAM | Vendedor A con sede en EE.UU. | Vendedor B con sede en EE.UU. | Vendedor C con sede en la UE | Vendedor D con sede en la UE | Vendedor E con sede en la UE |
|---|---|---|---|---|---|---|
| Jurisdicción de la sede | UE (Polonia) | EE.UU. | EE.UU. | UE (Francia) | UE (Polonia) | UE (Finlandia) |
| Residencia de datos | GCP europe-central2 (Varsovia, Polonia) | No documentado públicamente | No documentado públicamente | Opción local; región de nube no documentada públicamente | No documentado públicamente | No documentado públicamente |
| Riesgo de transferencia a terceros países | Ninguno (empresa de la UE, datos de la UE) | Se aplica la Ley CLOUD de EE.UU. | Se aplica la Ley CLOUD de EE.UU. | Ninguno (empresa de la UE) | Ninguno (empresa de la UE) | Ninguno (empresa de la UE) |
| Certificaciones de seguridad | Disponibilidad de SOC 2 Tipo II; disponibilidad de ISO 27001 | SOC 2 Tipo II (documentado públicamente) | SOC 2 Tipo II (documentado públicamente) | Certificación dual BSI + ANSSI | No documentado públicamente | No documentado públicamente |
| Documentación de cumplimiento de NIS2 | Mapeo publicado del control del Artículo 21 | No documentado públicamente | Contenido de NIS2 publicado (nivel de publicación) | No documentado públicamente | Enfoque de NIS2 documentado; mapeo del Artículo 21 no confirmado públicamente | No documentado públicamente |
El Problema de la Ley CLOUD para los Compradores de la UE
Las empresas con sede en EE.UU. — independientemente de dónde alojen sus datos — están sujetas a la Ley de Clarificación del Uso Legal de Datos en el Extranjero (CLOUD) de EE.UU. de 2018. Bajo la Ley CLOUD, una empresa de EE.UU. puede ser obligada por una orden del gobierno estadounidense a revelar datos que posee o controla, incluso cuando esos datos se almacenan en un centro de datos de la UE.
Este no es un riesgo teórico. Para entidades de alcance NIS2 en sectores de infraestructura crítica (energía, transporte, salud, infraestructura financiera), la adquisición de servicios en la nube de vendedores con sede en EE.UU. ahora incluye rutinariamente una revisión legal de la exposición a la Ley CLOUD. Para organizaciones que han completado esta revisión y han aceptado el riesgo, los vendedores basados en EE.UU. siguen siendo viables. Para organizaciones donde el equipo legal o de cumplimiento ha señalado la Ley CLOUD como una puerta de entrada de adquisición, solo los vendedores con sede en la UE pasan.
Los Vendedores C, D y E con sede en la UE están constituidos en estados miembros de la UE y no tienen exposición directa a la Ley CLOUD como empresas. VaultPAM también está constituida en la UE (Polonia), pero su infraestructura en la nube se ejecuta en GCP europe-central2 — un producto de Google LLC, una empresa estadounidense. Si la Ley CLOUD podría llegar a los datos de clientes de VaultPAM a través de una solicitud dirigida a Google es una pregunta legal; los equipos de adquisición en sectores de infraestructura crítica deben buscar asesoramiento. En la práctica, los acuerdos estándar de procesamiento de datos en la nube y los marcos de protección de datos de la UE proporcionan protecciones procedimentales significativas contra tales solicitudes, y Google publica un Informe de Transparencia de Solicitudes del Gobierno documentando su tasa de desafío.
Certificación de BSI y ANSSI
El Vendedor C con sede en la UE es el único vendedor en esta comparación con certificación dual de BSI (Bundesamt für Sicherheit in der Informationstechnik, Alemania) y ANSSI (Agence nationale de la sécurité des systèmes d'information, Francia). Para adquisición en infraestructura de gobierno federal alemán, infraestructura crítica nacional en Francia, o cualquier organización que tenga un requisito contractual de certificación de BSI o ANSSI, el Vendedor C con sede en la UE es la única opción en esta comparación que califica. Ningún otro vendedor revisado aquí ha logrado este nivel de certificación.
Documentación del Artículo 21 de NIS2
El Artículo 21 de NIS2 requiere que las organizaciones implementen "medidas técnicas y organizativas apropiadas y proporcionadas" incluyendo controles de acceso privilegiado, autenticación multifactor y grabación de sesión. Los auditores cada vez más piden a los vendedores que proporcionen un mapeo de control que muestre cómo su producto implementa cada subrequisito del Artículo 21.
VaultPAM publica un mapeo de control del Artículo 21 como parte de su documentación de producto. El Vendedor B con sede en EE.UU. ha publicado contenido de NIS2 a nivel de publicación/marketing. Los vendedores restantes en esta comparación no documentan públicamente un mapeo de control del Artículo 21 a partir de mayo de 2026.
Lo Que Realmente Pagas
Los precios de PAM empresarial son casi universalmente opacos. La tabla a continuación refleja lo que cada vendedor documenta públicamente.
| Vendedor | Modelo de precios | Precios públicos | Nivel gratuito |
|---|---|---|---|
| VaultPAM | Por destino gestionado + usuarios; mensual o anual | Sí — Starter €399/mes, Business €699/mes, Enterprise desde €2.500/mes | Prueba gratuita de 14 días (nivel Starter, sin tarjeta de crédito requerida) |
| Vendedor A con sede en EE.UU. | Basado en uso (MAU + recursos protegidos) | Requiere conversación con ventas; sin números públicos | Community Edition (empresas menores de 100 empleados / $10M de ingresos) |
| Vendedor B con sede en EE.UU. | Contactar a ventas; niveles Essentials / Enterprise / GovCloud | Sin precios públicos por asiento o recurso | No documentado públicamente |
| Vendedor C con sede en la UE | Contactar a ventas; precios de marco del gobierno francés disponibles | Sin números públicos | No documentado públicamente |
| Vendedor D con sede en la UE | Contactar a ventas | Sin números públicos | No documentado públicamente |
| Vendedor E con sede en la UE | Niveles escalables con compra en línea | Sí — precios de nivel público disponibles en sitio web | Nivel gratuito disponible |
VaultPAM y el Vendedor E con sede en la UE son los únicos dos vendedores en esta comparación que publican precios en su sitio web público y ofrecen un camino para comenzar sin una conversación con ventas. Todos los demás vendedores en esta comparación requieren participación de adquisición antes de que cualquier información de precios esté disponible.
El Costo Real No Es la Tarifa de Licencia
El precio de lista es el número menos informativo en una evaluación de PAM. El costo total de propiedad depende de:
- Costos de implementación y mantenimiento de agentes — para arquitecturas basadas en agentes, el costo continuo de implementar, actualizar y solucionar problemas de agentes en todos los servidores de destino es sobrecarga operativa real. Para un entorno de 500 servidores, esto puede exceder el costo de licencia en tiempo de personal durante un contrato de tres años.
- Costos de almacenamiento de sesión — las grabaciones de sesión con fidelidad completa generan volumen de almacenamiento significativo. Los vendedores que incluyen almacenamiento en la licencia (VaultPAM Starter incluye 50 GB) son más fáciles de presupuestar que aquellos que cobran por separado por almacenamiento de grabación.
- Esfuerzo de integración de AD/LDAP — casi todas las plataformas PAM requieren integración con Active Directory para identidad de usuario. La complejidad de integración varía significativamente entre vendedores, y un diseño de integración deficiente crea carga continua de helpdesk.
- Costos de SLA de soporte — la diferencia entre soporte por correo electrónico en horario comercial y soporte telefónico 24/7 es a menudo un elemento de línea separado o una actualización de nivel. Para plataformas PAM que protegen infraestructura crítica, el SLA de soporte no es opcional.
La Herramienta Correcta para Tu Situación
Ninguna plataforma PAM única es la respuesta correcta para cada empresa europea. Las opciones de arquitectura, jurisdicción, posición de certificación y modelo de precios crean encajes naturales para perfiles de comprador específicos.
Entidad polaca de alcance NIS2 — particularmente en infraestructura crítica o servicios esenciales regulados bajo la transposición UKSC polaca. Necesitas una garantía de residencia de datos de la UE dura (no una opción contractual que se default en otro lugar), un mapeo de control del Artículo 21 publicado, grabación de sesión RDP con cadena de custodia resistente a manipulaciones, y soporte disponible en una zona horaria compatible. VaultPAM (con sede en Varsovia, residencia de datos GCP europe-central2, mapeo del Artículo 21 publicado) y el Vendedor D con sede en la UE (también con sede en Varsovia, enfoque NIS2) son los dos vendedores en esta comparación que cumplen este perfil. VaultPAM publica precios y ofrece una prueba gratuita; el Vendedor D con sede en la UE requiere una conversación con ventas.
Infraestructura crítica francesa o alemana con requisito contractual de BSI o ANSSI. Esto reduce el campo a una opción: Vendedor C con sede en la UE. Es el único vendedor en esta comparación con certificación dual de BSI y ANSSI. Si tu contrato de adquisición o regulador del sector requiere este nivel de certificación, ningún otro vendedor en esta comparación califica. El intercambio es precios solo por contacto con ventas y un modelo de implementación local más complejo.
Empresa de tecnología cloud-native con SSH y Kubernetes como superficie de acceso principal. Si tu infraestructura es Linux-heavy, Kubernetes-first, y alojada en un proveedor de nube importante, el producto principal del Vendedor A con sede en EE.UU. es genuinamente fuerte. Su gestión de acceso a SSH y Kubernetes es más madura que su pila de Windows/RDP. Acepta el riesgo de la Ley CLOUD si tu equipo legal lo ha autorizado, acepta el modelo de precios basado en el uso, y verifica la posición de residencia de datos de la UE por escrito antes de firmar.
Equipo de seguridad que quiere eliminar credenciales almacenadas completamente — PAM solo de certificados. Si tu ratificación de seguridad es "no queremos una bóveda de credenciales porque las bóvedas son objetivos," el modelo basado en certificados del Vendedor E con sede en la UE es la única opción en esta comparación que coincide con esta filosofía. Es principalmente SSH, así que verifica la capacidad de grabación RDP específicamente antes de la adquisición. También es el único vendedor de la UE en esta comparación con tanto precios públicos como compra en línea — la ruta más rápida a una prueba de concepto.
CTA
VaultPAM está construido para empresas europeas con infraestructura pesada en RDP y obligaciones de NIS2. Precios documentados públicamente, una prueba gratuita de 14 días y residencia de datos GCP europe-central2 — sin cláusulas contractuales estándar requeridas para el procesamiento de datos de la UE.