90 días desde el arranque hasta la salida a producción: diseño de arquitectura multinube, integración con el proveedor de identidad y con la nube (AWS STS, Azure, GCP), políticas, despliegue (con o sin agente) y capacitación. Los casos simples bajan a 60 días; los complejos pueden tomar de 4 a 5 meses. Hay un piloto en 45 días.

De forma nativa: AWS STS genera tokens de sesión, Azure Managed Identity crea tokens de corta duración y GCP Workload Identity entrega credenciales federadas. Cada nube genera sus propias credenciales; el usuario solo abre el portal, elige el recurso y obtiene un token válido para ese recurso. Sin servidores de salto.

Para servidores en sus instalaciones (SSH, RDP), bases de datos, Kubernetes o APIs heredadas, el sistema genera las credenciales temporales adecuadas y se integra con OpenSSH, RDP y conexiones JDBC. Los sistemas heredados funcionan sin modificarse.

Solo individual. Cada usuario obtiene una credencial única ligada a su identidad y compartirla está bloqueado. Si un equipo necesita acceso, cada integrante pide el suyo. Esto elimina las cuentas de servicio compartidas y la falta de auditoría.

Ante un incidente crítico (SEV-1), la aprobación se simplifica: el usuario lo declara, el sistema escala al jefe de guardia para una aprobación inmediata y la credencial se genera en segundos. Toda la actividad se audita igual y la documentación posterior justifica la escalada.

Las laptops modernas (Windows 10+, macOS 11+, Linux con fTPM) ya incluyen TPM 2.0. El certificado se instala en el TPM durante el alta corporativa, sin hardware extra. Los equipos sin TPM pueden usar validación con agente.

Con APIs REST que herramientas como Jenkins, GitLab CI o GitHub Actions invocan para pedir credenciales temporales. La herramienta se autentica (mTLS u OAuth), recibe un token válido por un tiempo y lo usa en sus scripts. Nunca se guardan secretos fijos en las tuberías ni en los repositorios.

La inversión depende del scope: número de users que necesitan acceso privilegiado, número de sistemas target (clouds, servers, databases), nivel de auditoría requerido (agentless vs agent-based), compliance requirements. Como referencia:

• Implementación básica (hasta 50 users, single cloud, 10 resources): desde $700K MXN
• Implementación estándar (hasta 200 users, 2-3 clouds, 30+ resources, agent-based en críticos): desde $1.5M MXN
• Implementación enterprise (usuarios ilimitados, multi-cloud completo, 100+ resources, full session recording): desde $3M MXN

Incluye licencias Ping Identity, implementación, cloud integration, agent deployment donde needed, policies, training y soporte 12 meses. Agenda una consultoría gratuita para cotización detallada adaptada a tu architecture.