El Reto: Datos de Carbono a Través de las Fronteras Empresariales

La sostenibilidad ya no es un lujo — es un requisito operativo impulsado por regulaciones de la UE y la demanda de los clientes por datos de emisiones auditables. Para los fabricantes automotrices, el problema es que los datos de emisiones viven en capas fragmentadas de proveedores, sistemas internos y transferencias manuales mediante hojas de cálculo y correos electrónicos. La iniciativa Catena-X establece expectativas de interoperabilidad y confianza, pero construir una solución práctica requiere resolver dos problemas simultáneamente: permitir la colaboración sin fricciones mientras se garantiza que cada empresa mantenga el control total sobre sus datos y credenciales.

PACIFIC, un producto construido por BASF y CircularTree en AWS, aborda esto de frente. Es una plataforma SaaS multiinquilino que permite a las empresas gestionar e intercambiar Product Carbon Footprints (PCFs) manteniendo la soberanía de los datos — y está certificado por Catena-X. La arquitectura es una clase magistral de cómo usar servicios nativos de AWS para el aislamiento de inquilinos sin la sobrecarga de cuentas por cliente.

Referencia: AWS Architecture Blog

Multi-tenant SaaS architecture diagram showing tenant isolation on AWS with Cognito and IAM

Arquitectura Central: Aislamiento de Inquilinos Basado en IAM

¿El truco? En lugar de aprovisionar cuentas AWS separadas por inquilino, PACIFIC implementa un modelo de aislamiento de grano fino basado en IAM usando Amazon Cognito y AWS Secrets Manager. Así funciona:

  1. Onboarding: Cuando una empresa se une, PACIFIC aprovisiona automáticamente un rol IAM dedicado con una política que solo permite acceso a los secretos de esa empresa en Secrets Manager.
  2. Autenticación: Los usuarios se asignan a un grupo de Cognito vinculado al rol IAM de su empresa. Cuando se autentican, el pool de identidades mapea la membresía del grupo al rol IAM correspondiente, y AWS STS emite credenciales temporales.
  3. Imposición: Esas credenciales solo pueden recuperar los secretos EDC de la propia empresa — el acceso a configuraciones de otros inquilinos se deniega a nivel de la política IAM.

Este patrón ofrece aislamiento multiinquilino verdadero usando servicios de identidad nativos de AWS, sin la sobrecarga de gestionar VPCs o cuentas dedicadas por cliente.

Asegurando la Capa de Intercambio

Más allá del aislamiento de inquilinos, PACIFIC impone autorización en la capa de intercambio de datos a través del pcf-exchange-module, un endpoint por inquilino que sirve datos PCF a socios autorizados. El flujo:

  • El conector EDC del consumidor solicita datos del EDC del proveedor.
  • Los dos conectores negocian y acuerdan políticas de uso.
  • El EDC del proveedor emite un token OAuth2 especial derivado de las credenciales de Cognito almacenadas en Secrets Manager.
  • El consumidor usa este token para llamar al endpoint dedicado del proveedor en PACIFIC.

Como el endpoint de cada inquilino solo acepta tokens emitidos por el handshake EDC, el acceso no autorizado se previene en múltiples niveles: negociación de política EDC + validación OAuth2 específica de la empresa.

// Ejemplo: política IAM para acceso con ámbito de inquilino a Secrets Manager
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:us-east-1:123456789012:secret:tenant-ABC-*"
      ]
    }
  ]
}

Integrando Sistemas de Proveedores

El integration-module corre en AWS Fargate y proporciona una capa de integración flexible para ingerir datos PCF de sistemas propietarios de proveedores (como los servicios internos de BASF). Cada integración de proveedor maneja flujos de autenticación únicos — credenciales OAuth2, autenticación basada en certificados o claves de API — todos gestionados de forma segura a través de Secrets Manager. Los datos PCF entrantes deben estar en el formato estandarizado Catena-X JSON. Los datos se almacenan en S3 bajo prefijos específicos de la empresa, con políticas IAM que aseguran que solo la empresa propietaria pueda acceder a ellos.

Para más sobre patrones de theming visual y animación relacionados, echa un vistazo a esta guía sobre theming de colores relativos con CSS.

Secure data exchange flow between EDC connectors using OAuth2 tokens and AWS Secrets Manager Developer Related Image

Limitaciones y Consideraciones

Aunque la arquitectura de PACIFIC es impresionante, no está exenta de trade-offs:

  • Complejidad de la gestión de políticas IAM: A medida que crece el número de inquilinos, mantener y auditar políticas IAM con ámbito puede volverse engorroso. La automatización (Infraestructura como Código) es esencial.
  • Dependencia de los estándares Catena-X: La solución está fuertemente acoplada a los conectores EDC de Catena-X. Si la industria cambia a un protocolo diferente, puede ser necesario un retrabajo significativo.
  • Latencia del intercambio de tokens en múltiples pasos: El flujo de negociación EDC + emisión de token añade latencia en comparación con modelos simples de clave API, aunque es aceptable para el intercambio de PCF que no es en tiempo real.
  • Sobrecarga de integración de proveedores: Cada nuevo proveedor requiere manejo de autenticación personalizado en el módulo de integración, lo que puede ralentizar el onboarding a pesar de la arquitectura desacoplada.

Próximos Pasos para Aprender

  • Profundiza en tus habilidades de IAM en AWS: Estudia la lógica de evaluación de políticas IAM y practica escribiendo políticas con ámbito para SaaS multiinquilino.
  • Explora Catena-X: Únete a la comunidad Catena-X para entender las especificaciones del espacio de datos y la configuración del conector EDC.
  • Prueba Data Commons MCP: Para un enfoque diferente de consultar datasets públicos con IA, revisa el Data Commons MCP alojado en Google Cloud.
  • Construye tu propio SaaS multiinquilino: Usa el programa AWS SaaS Factory para aprender patrones de aislamiento de inquilinos más allá de IAM (como arquitectura basada en celdas).

Dashboard showing carbon footprint data exchange metrics and supply chain emissions tracking IT Technology Image

Conclusión: Impacto Medible

PACIFIC convierte el intercambio de PCF de Catena-X de una especificación en un flujo de trabajo interoperable y escalable. Los resultados hablan por sí solos:

  • 75% de ahorro de tiempo: El intercambio manual de PCF toma hasta 7 días; PACIFIC responde en segundos.
  • Aumento del 80% en el número de empresas integradas entre 2024 y 2025.
  • Crecimiento del 55% en productos solicitados y PCFs compartidos en el mismo período.

Esto no es solo una victoria técnica — es un catalizador para acelerar la descarbonización en las cadenas de suministro. Al usar servicios nativos de AWS para el aislamiento de inquilinos y el intercambio seguro de datos, PACIFIC demuestra que se puede escalar los esfuerzos de sostenibilidad sin comprometer la soberanía de los datos.

Para explorar más soluciones de sostenibilidad y patrones de arquitectura AWS, visita el AWS Architecture Blog.

Este contenido fue redactado con la asistencia de herramientas de IA, basándose en fuentes confiables, y fue revisado por nuestro equipo editorial antes de su publicación. No reemplaza el asesoramiento de un profesional especializado.