Auditoría técnica completa · entregable formal 5-10 días hábiles

Mapeo de tu infraestructura de email. Cinco dimensiones, scoring honesto, plan presupuestado.

Empresa que envía más de 100K mensajes mensuales sin documentación técnica reciente. Operación regulada con auditoría compliance pendiente. Equipo que heredó stack email sin runbooks. Organización evaluando consolidación de proveedores o migración. Para cualquiera de esos escenarios, el assessment técnico entrega documento ejecutivo de 25 a 40 páginas con scoring multidimensional, gap analysis vs baseline industria 2026, plan de remediación priorizado por impacto y costo. Sin compromiso de contratar servicios posteriores: el documento tiene valor propio.

Solicitar assessment Ver las 5 dimensiones
5dimensiones evaluadas
25-40páginas entregable
5-10días hábiles
32assessments operados
Cinco dimensiones · método EMP

Lo que medimos y cómo se puntúa cada eje.

Las cinco dimensiones del scoring están calibradas contra la operación real de email B2B Latinoamérica 2024-2026. Cada eje produce un puntaje 0-100 con criterios objetivos y reproducibles. No hay puntaje compuesto único porque comprimir cinco dimensiones en un número oculta los gaps reales; el documento entrega las cinco por separado con su gap específico vs baseline.

Dim 01

Autenticación

Configuración correcta de SPF, DKIM, DMARC y BIMI con alignment validado.

  • SPF includes y mecanismos
  • DKIM selectors y rotación
  • DMARC policy y alignment
  • BIMI Self/CMC/VMC
  • ARC chain si aplica
Dim 02

Deliverability

Inbox rate medido por mailbox provider con muestreo controlado.

  • Gmail Postmaster Tools
  • Microsoft SNDS rating
  • Yahoo Sender Hub
  • Apple iCloud delivery
  • Seedlist testing 30 días
Dim 03

Reputación

Sender Score, blocklist status, complaint rate, bounce rate por destino.

  • Sender Score Validity
  • 25 blocklists públicas
  • Complaint rate por MP
  • Bounce categorization
  • Spam trap analysis
Dim 04

Compliance

Adherencia a marcos regulatorios aplicables al cliente.

  • Ley 81 Panamá + DE 285
  • GDPR Art. 32 si aplica
  • HIPAA Security Rule
  • PCI-DSS req. 4.1
  • ISO 27001 baseline
Dim 05

Observabilidad

Logging, monitoreo, alertas, dashboards operacionales del MTA.

  • Log retention y query
  • Métricas Prometheus
  • Dashboards Grafana
  • Alertas pager configuradas
  • Runbooks documentados

Cada dimensión tiene 8-15 sub-criterios con peso ponderado. La autenticación pesa ítems como "DMARC en p=quarantine o p=reject" más alto que "DMARC con SP definido"; deliverability pesa "Gmail domain reputation High" más alto que "Apple iCloud delivery confirmed"; compliance pondera marcos según jurisdicción aplicable al cliente. Los pesos están documentados en el anexo metodológico del documento entregable, así cualquier auditor externo puede reproducir el scoring sobre la misma información.

Ejemplo de output · scoring real anonimizado

Cómo se ve el scoring en el documento.

Caso real anonimizado: empresa B2C panameña sector retail, 2M envíos/mes, scoring previo a remediación. Los gaps identificados se vuelven el plan priorizado del documento. Los colores indican baseline industria: verde sobre 70, amarillo 50-70, rojo bajo 50.

Scoring multidimensional · Cliente anonimizado

Retail B2C Panamá · 2M envíos/mes · pre-remediación

Pre-remediación
Autenticación
DKIM/SPF OK · DMARC en p=none
62
Deliverability
Gmail Medium · MS Yellow
58
Reputación
2 blocklists · complaint 0.32%
41
Compliance
Ley 81 OK · falta DPA proveedor
78
Observabilidad
Logs sin retention · sin alertas
35

El gap analysis del documento prioriza los hallazgos por matriz impacto vs costo de remediación. En este caso real, las acciones priorizadas resultaron: migrar DMARC a p=quarantine (alto impacto sobre autenticación y deliverability, costo bajo de implementación), delisting de las 2 blocklists con remediación de causa raíz (alto impacto reputacional, costo medio), configurar retention de logs y alertas pager (impacto observabilidad, costo bajo), cerrar el gap DPA con el proveedor de ESP (impacto compliance, costo bajo de coordinación). El plan completo entregado al cliente cubrió 14 acciones priorizadas con timeline 9 meses.

Estructura del entregable · TOC real

Qué incluye el documento que recibís.

Tabla de contenidos del documento Standard Assessment. Los tiers superiores adicionan secciones específicas (benchmark competitivo en Deep, compliance documentation en Compliance-Ready, multi-domain en Enterprise) pero la estructura core se mantiene.

Email Infrastructure Assessment · Standard

28 páginas + anexos · PDF formal
  • 1 · Resumen ejecutivopp. 1-3
  • 1.1 Scoring multidimensional consolidadop. 1
  • 1.2 Top-3 hallazgos críticosp. 2
  • 1.3 Recomendaciones priorizadasp. 3
  • 2 · Autenticaciónpp. 4-9
  • 2.1 SPF y mecanismos publicadosp. 4
  • 2.2 DKIM selectors y firmap. 5
  • 2.3 DMARC policy y reportingp. 7
  • 2.4 BIMI estado actualp. 9
  • 3 · Deliverabilitypp. 10-15
  • 3.1 Google Postmaster Tools 30dp. 10
  • 3.2 Microsoft SNDS ratingp. 12
  • 3.3 Yahoo + Apple deliveryp. 14
  • 4 · Reputaciónpp. 16-20
  • 4.1 Sender Score históricop. 16
  • 4.2 Blocklist status (25 listas)p. 17
  • 4.3 Complaint y bounce analysisp. 19
  • 5 · Compliancepp. 21-23
  • 5.1 Marcos aplicables al clientep. 21
  • 5.2 Adherencia por marcop. 22
  • 6 · Observabilidadpp. 24-26
  • 6.1 Logging y retentionp. 24
  • 6.2 Monitoreo y alertasp. 25
  • 7 · Plan de remediación priorizadopp. 27-28
  • Tabla de hallazgos con prioridad y presupuestop. 27
  • Anexos técnicosA1-A6
  • Queries DNS · lookups · logs analizados · metodología scoringseparado
Cómo ejecutamos · 4 fases

El proceso de assessment paso por paso.

Fase 01
Día 1

Discovery + accesos

Kick-off de 60 minutos. NDA si no firmado previamente. Coordinación de accesos lectura a herramientas del cliente. Setup de canal Slack o equivalente para coordinación durante el assessment.

Fase 02
Días 2-5

Análisis técnico

Equipo EMP analiza las cinco dimensiones en paralelo. Entrevistas técnicas con SRE/MailOps del cliente (60-90 minutos cada una). Procesamiento de logs SMTP y DMARC reports.

Fase 03
Días 5-7

Documento + scoring

Redacción del documento ejecutivo con scoring multidimensional, gap analysis, plan priorizado y presupuestos. Review interno por SRE senior antes de entrega.

Fase 04
Días 7-10

Entrega + presentación

Entrega del PDF formal. Presentación de 60-90 minutos al equipo del cliente con walkthrough de cada dimensión, Q&A en vivo, validación de prioridades del plan.

Comparativa de approaches · honestidad de mercado

EMP vs DIY interno vs Big4 consulting.

Hay tres caminos viables para hacer un assessment de email infrastructure. Cada uno tiene trade-offs reales que conviene conocer. EMP no es siempre la respuesta correcta; lo decimos así.

Criterio DIY equipo interno EMP Assessment Big4 consulting
Costo total $0 cash · 150-300h SRE $2,800-$18,000 $50,000-$200,000+
Plazo entrega 4-12 semanas calendario 5-15 días hábiles 8-16 semanas
Expertise email Variable según equipo SRE con 7+ años B2B email Consultor generalista
Independencia comercial Total Alta · cost recupera si contrata Variable según partnerships
Apto para auditor externo Requiere formato adicional Sí · formato profesional Sí · pero con costo alto
Conocimiento Latinoamérica Si el equipo es local Profundo · base operacional Variable · mayoría USA/EU
Plan de remediación Posible si tienen tiempo Incluido con presupuestos Premium adicional

Cuándo DIY interno es la respuesta correcta: el cliente tiene equipo SRE/MailOps con tiempo disponible (no en firefighting), historial operacional en email B2B, herramientas comerciales pagas (Validity, Return Path), y prefiere conservar el budget cash para ejecutar las remediaciones. Cuándo Big4 es la respuesta correcta: cliente regulado con requirement de auditor con nombre reconocido en el documento, M&A en curso con due diligence formal, jurisdicciones múltiples fuera de Latinoamérica donde EMP no tiene cobertura directa. Cuándo EMP es la respuesta correcta: balance de costo-velocidad-expertise específica de email, operación en Latinoamérica con compliance Ley 81 / GDPR, equipo cliente con bandwidth limitado para ejecutar la auditoría internamente.

Pricing transparente

Cuatro tiers según profundidad y scope.

El costo del assessment se descuenta del primer servicio EMP contratado dentro de 6 meses si el cliente decide proceder. Si no contrata nada, el assessment fue servicio independiente con valor propio.

Standard

5 dimensiones · 25-30 páginas · 5-7 días.

$2,800 USD
  • Auditoría completa 5 ejes
  • Documento ejecutivo 25-30 páginas
  • Gap analysis vs baseline 2026
  • Plan priorizado 12-18 meses
  • Presentación 90 minutos
  • Entrega 5-7 días hábiles
Solicitar Standard

Deep

Standard + 90d logs + benchmark + workshops.

$5,500 USD
  • Standard completo
  • Análisis 90 días logs SMTP
  • Review templates y contenido
  • Benchmark vs 3 competidores
  • Workshops 4h con el equipo
  • 30 días Q&A post-entrega
Solicitar Deep

Compliance-Ready

Deep + scope compliance para auditor externo.

$9,800 USD
  • Deep completo
  • Ley 81 + GDPR + HIPAA + PCI
  • Documentación apta auditor
  • Roles y responsabilidades
  • Mapeo marcos regulatorios
  • Entrega 10-15 días hábiles
Solicitar Compliance

Enterprise

Multi-domain · multi-país · roadmap 24 meses.

$18,000+ USD
  • Multi-domain hasta 10 dominios
  • Multi-país compliance
  • Entrevistas stakeholders negocio
  • Roadmap 24 meses
  • 90 días post-entrega support
  • Entrega 3-4 semanas
Hablar Enterprise
Lo que pregunta el CISO antes de firmar

Las dudas reales del decision-maker.

"¿Necesito contratar servicios EMP después del assessment?"

No. El assessment se cobra independientemente de cualquier servicio posterior. El cliente recibe el documento, el plan de remediación priorizado y los presupuestos estimados, y decide autónomamente cómo proceder. Puede ejecutar las remediaciones con su equipo interno, contratar a otro proveedor, o contratar servicios EMP específicos para las áreas donde EMP es competitivo. Si el cliente decide contratar servicios EMP posteriores derivados del assessment, descontamos el costo del assessment del primer servicio contratado dentro de los 6 meses posteriores. Si no contrata nada, el assessment fue un servicio independiente con valor propio. Esta estructura existe para garantizar que el assessment es honesto, no un instrumento de venta del próximo servicio.

"¿En qué se diferencia del diagnóstico forense del servicio de recovery?"

Scope y propósito distintos. Diagnóstico forense del servicio de recovery está enfocado en una caída activa con causa raíz por identificar y remediación urgente; se entrega en 48 horas con plan táctico de 4-12 semanas. El assessment de infraestructura es estratégico y comprehensivo: cubre cinco dimensiones de la operación en estado normal (no en crisis), produce documento ejecutivo apto para presentar al directorio o auditor, incluye benchmark vs industria y plan de remediación 12-24 meses. El assessment es lo que recomendamos cuando el cliente está operando OK pero quiere validación profesional, evaluando consolidación de proveedores, o preparándose para auditoría externa próxima. El recovery diagnóstico es lo que recomendamos cuando ya hay fuego activo.

"¿Qué nivel de seniority tiene el equipo asignado?"

El SRE líder del proyecto tiene mínimo 7 años en operaciones email B2B Latinoamérica. Para el tier Standard, un SRE líder más un analyst que apoya análisis de datos. Para Deep y Compliance-Ready, dos SREs senior trabajando coordinados. Para Enterprise, equipo de tres-cuatro personas incluyendo SRE líder, compliance analyst con experiencia regulatoria, ingeniero senior de deliverability con experiencia directa con postmasters de mailbox providers principales. Los CVs específicos del equipo asignado se comparten con el cliente al cierre del SOW si así lo prefiere para validación profesional previa al inicio.

"¿Cuánto acceso necesitan a nuestra infraestructura?"

Lectura, no escritura. Específicamente: Google Postmaster Tools del dominio con permiso de viewer delegado, Microsoft SNDS si aplica, Sender Score account credentials de Validity si la usás, 30 días de logs SMTP del MTA principal, accountings de bounce y complaint reports, configuración DNS actual completa de los dominios en scope, lista de IPs salientes principales y secundarias, templates representativos de los flujos principales, entrevistas de 30-60 minutos con el equipo SRE/MailOps y opcionalmente con marketing si scope incluye contenido. NDA bilateral firmado antes de cualquier acceso. EMP no realiza modificaciones sobre la infraestructura del cliente durante el assessment.

"¿El assessment incluye benchmark con la competencia?"

En Deep, Compliance-Ready y Enterprise sí, anónimamente. Cliente identifica 3-5 competidores observables públicamente (no requiere acceso a su infraestructura, solo lo público: DNS lookups, headers de email recibidos como suscriptor, dominios visibles). EMP analiza qué tienen configurado los competidores en autenticación, BIMI, MTA-STS, calidad de sus prácticas observables. El benchmark queda anónimo en el documento (Competidor A, B, C) por respeto profesional. Útil para identificar prácticas comunes en la industria del cliente o detectar gaps competitivos: si tres de tus cinco competidores tienen BIMI con VMC y vos no, eso es signal. Standard no incluye este componente porque agrega tiempo significativo de investigación externa.

"Ya tenemos auditor SOC 2 / ISO. ¿Tiene sentido sumar EMP?"

Depende del enfoque del auditor actual. Auditores SOC 2 e ISO 27001 generalistas revisan policies, controles, evidencias documentales pero rara vez profundizan en autenticación SMTP, configuración MTA, deliverability efectiva. El gap típico que encontramos: SOC 2 Type II marca "encryption in transit" como control implementado basado en certificate inventory, sin validar que STARTTLS realmente se negocia o que MTA-STS está enforce. EMP assessment complementa el SOC 2: nuestro documento es input para el auditor que confirma controles específicos de email. Si el cliente quiere reemplazar el auditor SOC 2 con EMP, no es la respuesta correcta: los marcos auditables como SOC 2 e ISO requieren auditor independiente con scope amplio, no especialista email.

Preguntas técnicas frecuentes

Lo que sale en la sesión de discovery.

¿Qué incluye exactamente el documento entregable?

Documento ejecutivo en PDF de 25-40 páginas según tier contratado, con estructura estándar EMP:

  • Resumen ejecutivo de 2-3 páginas con scoring multidimensional y top-3 hallazgos críticos
  • Análisis técnico por dimensión: autenticación (SPF, DKIM, DMARC, BIMI), deliverability (inbox rate Gmail/Microsoft/Yahoo/Apple), reputación (Sender Score, blocklists, GPT, SNDS), compliance (marcos aplicables del cliente), observabilidad (logging, monitoreo, alertas)
  • Gap analysis con priorización de hallazgos por matriz impacto vs costo
  • Plan de remediación con timeline 12-24 meses según tier y presupuesto estimado de cada intervención
  • Anexos técnicos con queries DNS, lookups blocklists, parseo de DMARC reports, logs SMTP analizados, metodología de scoring reproducible
  • Presentación de 60-90 minutos al equipo del cliente para walkthrough del documento y Q&A
¿Pueden hacer assessment multi-país con marcos compliance distintos?

Sí, con el tier Compliance-Ready Assessment o Enterprise. Cubrimos los marcos donde EMP tiene experiencia operacional directa:

  • Ley 81 Panamá con su Decreto Ejecutivo 285
  • GDPR para operaciones con datos personales de residentes UE
  • CCPA/CPRA para residentes California
  • LGPD Brasil
  • HIPAA para healthcare con PHI de USA
  • PCI-DSS para procesadores de tarjetas
  • ISO 27001 como baseline organizacional

Para marcos fuera de esta lista (PIPL China, PDPA Singapur, normativa específica de Medio Oriente) coordinamos con partner local especializado en esa jurisdicción y entregamos assessment integrado con el output del partner. El precio se ajusta según número de jurisdicciones cubiertas.

¿Cuánto se demora desde firmar hasta recibir el documento?

Plazos por tier:

  • Standard: 5-7 días hábiles desde firma del SOW y acceso a herramientas del cliente
  • Deep: 8-10 días hábiles
  • Compliance-Ready: 10-15 días hábiles porque incluye revisión documental adicional contra marcos regulatorios
  • Enterprise: 3-4 semanas dependiendo del scope multi-domain y multi-país

Variables que extienden el plazo: demoras en otorgar accesos por flujos de aprobación interna del cliente, falta de disponibilidad del equipo SRE/MailOps del cliente para las entrevistas, complejidad excepcional de la infraestructura no comunicada en el discovery. Comunicación semanal del progreso con honestidad si hay slip de timeline.

¿La metodología de scoring es reproducible por nuestro equipo o auditor?

Sí. El anexo metodológico del documento documenta los pesos de cada sub-criterio por dimensión. Cualquier auditor externo o equipo interno del cliente puede tomar el mismo input (configuración DNS, postmaster data, logs SMTP) y reproducir el scoring siguiendo la metodología.

Esto es deliberado: scoring opaco no sirve para tomar decisiones técnicas ni para presentar a auditoría. La metodología EMP está derivada de:

  • Recomendaciones M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group)
  • Best practices documentadas de Gmail Postmaster Support
  • Microsoft Smart Network Data Services guidance
  • RFCs aplicables (5321, 5322, 6376, 7208, 7489, 8461, 8460)
  • Experiencia operacional EMP sobre 60+ operaciones B2B 2018-2026
¿Cómo se entrega el benchmark competitivo anónimo?

El cliente identifica 3-5 competidores observables públicamente al kick-off. EMP analiza únicamente información pública sobre esos dominios:

  • DNS lookups (SPF, DKIM, DMARC, BIMI, MTA-STS, DANE-TLSA records)
  • Suscripción como recipient a sus emails marketing públicos cuando aplica
  • Headers analysis de los emails recibidos (autenticación, ESPs usados, infrastructure inferida)
  • SSL/TLS certificate analysis de sus MX
  • Reverse DNS y rDNS patterns de sus IPs salientes detectables

El benchmark se entrega anónimamente: "Competidor A tiene BIMI VMC, Competidores B y C no". El cliente sabe quién es cada uno; EMP no nombra a competidores específicos en el documento por respeto profesional. Ningún acceso a infraestructura de los competidores es solicitado o requerido; solo lo observable públicamente.

¿Pueden actualizar el assessment 6 o 12 meses después?

Sí, como servicio Re-assessment a precio reducido. Re-assessment a 6 meses cuesta 40% del tier original; a 12 meses cuesta 60%. El re-assessment compara el scoring actualizado vs el baseline del assessment original, muestra qué hallazgos fueron remediados, qué siguen abiertos, y qué nuevos gaps aparecieron desde la última revisión.

Esto es útil para operaciones con compliance recurrente (auditorías ISO 27001 anuales, SOC 2 Type II con re-evaluación semestral) donde el documento actualizado es input estándar al auditor externo. También útil para mostrar progreso operacional al directorio del cliente sobre programas de mejora multianual.

¿El assessment incluye recomendación de proveedores específicos?

Sí, con honestidad de mercado. El plan de remediación lista para cada acción los proveedores razonables:

  • Cuando EMP es competitivo, EMP aparece en la lista junto con alternativas
  • Cuando otros proveedores son objetivamente mejores para el caso específico, recomendamos esos proveedores (DigiCert para VMC, Validity para Sender Score, partners de Spamhaus para casos de blocklist complejos)
  • Cuando la remediación se puede ejecutar internamente, lo decimos así con estimación de horas-persona del equipo cliente

La utilidad del documento depende de esta honestidad: si las recomendaciones siempre apuntan a EMP, el assessment pierde credibilidad y el cliente pierde confianza. La estructura comercial está diseñada para no incentivar sesgo: el descuento sobre servicios EMP posteriores aplica solo a las 6 primeras meses, no a perpetuidad.

¿Cómo se manejan datos sensibles durante el assessment?

Tres mecanismos coordinados:

  • NDA bilateral firmado antes de cualquier acceso a información del cliente
  • DPA específico bajo régimen del Decreto Ejecutivo 285 art. 24 si scope incluye procesamiento de datos personales
  • Acceso de lectura únicamente a herramientas del cliente, sin modificaciones
  • Logs SMTP procesados contienen metadata operacional pero no se accede a contenido de mensajes en spool
  • Templates de email revisados son los que el cliente provee voluntariamente como representativos, no extraídos de mailboxes activos
  • Documento entregable anonimiza datos sensibles del cliente (IPs específicas se enmascaran si el cliente lo prefiere, dominios principales se mantienen)
  • Retention EMP del material analizado: 90 días post-entrega, después se elimina salvo que el cliente solicite retention extendida

Discovery técnico. Una llamada de 30 minutos.

Validamos scope (cuántos dominios, qué dimensiones priorizar, qué marcos compliance aplican, presencia de auditoría externa próxima). Confirmamos el tier que encaja con tu caso. Si después del discovery el assessment no es la respuesta correcta (porque ya tenés audit reciente, porque tu situación es de crisis y necesitás recovery diagnóstico, porque tu scope excede capacidad EMP) lo decimos honestamente. Sin compromiso de continuar. NDA bilateral disponible antes de la llamada si tu compliance lo exige.

Discovery 30 minutos ¿Crisis activa? Recovery
Sin compromiso · NDA disponible · L-V 9-18 GMT-5