ISMS Copilot
Seguridad

Políticas de Seguridad

Esta página documenta las políticas de seguridad adoptadas formalmente por ISMS Copilot 2.0 como parte de nuestro Sistema de Gestión de Seguridad de la Información (SGSI). Estas políticas respaldan nuestro cumplimiento con los estándares ISO 27001, SOC 2 e ISO 42001, y reflejan nuestro compromiso con el desarrollo responsable de la IA y la protección de datos.

Estas políticas guían nuestras operaciones internas y la implementación técnica. Para más detalles sobre cómo protegemos sus datos en la práctica, consulte nuestro Resumen de Seguridad y Protección de Datos.

Política de Control de Acceso

Protegemos el acceso a nuestros sistemas y datos mediante estrictos controles de autenticación y autorización.

Autenticación y Autorización

  • La autenticación de múltiples factores (MFA) es obligatoria para todos los usuarios que acceden a servicios críticos

  • Los privilegios de acceso se conceden siguiendo el principio de mínimo privilegio

  • Se requieren cuentas identificadas únicas para todo acceso a producción; no se permiten credenciales compartidas

  • Los privilegios de acceso de los empleados se revisan trimestralmente para asegurar la alineación con los roles actuales

  • Todos los miembros del equipo utilizan gestores de contraseñas para asegurar credenciales y claves de API

Gestión de Sesiones

  • Se imponen límites de duración de sesión y requisitos de re-autenticación

  • Se requieren conexiones seguras mediante TLS para todo acceso a producción

  • El acceso a la base de datos está restringido exclusivamente a redes internas

Ciclo de Vida del Acceso

  • La provisión de acceso se verifica por adecuación al rol antes de otorgar permisos

  • La desvinculación de empleados sigue procedimientos documentados con la desactivación de cuentas en un plazo de 24 horas

  • El acceso de emergencia se proporciona mediante cuentas de tipo "break-glass" con registro obligatorio y revisión posterior al evento

Nuestra arquitectura de seguridad a nivel de fila garantiza el aislamiento completo de datos entre las cuentas de los clientes, evitando el acceso no autorizado incluso dentro de nuestra infraestructura.

Política de Gestión de Activos

Mantenemos un inventario y protección exhaustivos de todos los activos de la empresa, desde dispositivos de empleados hasta bases de conocimiento propias.

Seguridad de Dispositivos

  • El bloqueo automático de pantalla está configurado en todos los dispositivos de los empleados

  • El cifrado en reposo protege los datos confidenciales en los dispositivos del equipo

  • Las actualizaciones de software se mantienen automáticamente para reducir la exposición a vulnerabilidades

  • El software anti-malware y los firewalls configurados protegen contra amenazas

  • La gestión de dispositivos móviles (MDM) aplica las políticas de seguridad en todos los dispositivos

  • Solo sistemas operativos compatibles: los dispositivos deben ejecutar SO/software con soporte activo del proveedor

Manejo de Datos

  • Se prohíben los dispositivos de almacenamiento extraíbles para datos de la empresa

  • Se requiere el borrado seguro antes de que cualquier dispositivo sea vendido, transferido o desechado

  • Los dispositivos de los empleados para tareas aprobadas únicamente están restringidos al uso comercial autorizado

  • Se requieren ubicaciones físicas seguras al acceder a los datos de la empresa de forma remota

Inventario de Activos

  • El seguimiento de activos mantiene un inventario sistemático de todos los activos de la empresa, incluyendo bases de conocimiento propias y código fuente

  • Las revisiones anuales garantizan la precisión y relevancia del inventario

  • Los procesos de eliminación segura protegen los activos fuera de servicio contra la fuga de datos

Recursos del Sistema de IA

  • Los recursos del ciclo de vida de la IA están identificados y documentados (proveedores de LLM, componentes de la arquitectura RAG)

  • Los recursos de datos para los sistemas de IA están documentados (base de conocimientos propia)

  • Los recursos de herramientas están documentados (Semgrep, Sentry)

  • Los recursos de computación están documentados (infraestructura de Vercel, Supabase)

Política de Continuidad del Negocio, Respaldo y Recuperación

Mantenemos la resiliencia a través de procedimientos documentados de recuperación ante desastres y sistemas de respaldo automatizados.

Recuperación ante Desastres

  • El Plan de Recuperación ante Desastres (DRP) se mantiene, es aprobado por la gerencia y se actualiza anualmente

  • Los objetivos de recuperación definen el RTO (Objetivo de Tiempo de Recuperación) y el RPO (Objetivo de Punto de Recuperación) para todos los sistemas críticos

  • Las pruebas anuales validan los procedimientos de recuperación ante desastres

  • Las revisiones anuales evalúan las estrategias de continuidad del negocio y redundancia, especialmente después de cambios importantes como la adición de proveedores de IA

Requisitos de Respaldo

  • Respaldos continuos de las bases de datos de producción protegen los historiales de chat de los clientes y archivos subidos, con recuperación a un punto en el tiempo activada

  • Mínimo de 7 días de retención para los respaldos

  • Cifrado para todos los respaldos en reposo y en tránsito mediante el cifrado de Supabase

  • Acceso restringido a los sistemas de respaldo con registro y monitoreo exhaustivos

  • Pruebas de restauración semestrales validan la integridad de los respaldos y los procedimientos de recuperación

  • Validación anual de conmutación por error (failover) para mecanismos de redundancia y recuperación multirregión

Política de Gestión de Datos

Manejamos los datos con controles estrictos alineados con el RGPD y las mejores prácticas de protección de datos.

Ciclo de Vida de los Datos

  • El sistema de clasificación del inventario de datos categoriza todos los datos (Público, Interno, Confidencial, Secreto)

  • Eliminación segura previa solicitud formal o tras la expiración del período de retención, respaldando los derechos del RGPD

  • Minimización de datos: solo se recopilan y retienen los datos necesarios para fines definidos

  • Bases legales de procesamiento documentadas (consentimiento, contrato, obligación legal, intereses legítimos)

  • Los registros de actividades de procesamiento documentan fines, categorías de datos, destinatarios, períodos de retención y medidas de seguridad

Cifrado y Transporte

  • Mínimo TLS 1.2 (idealmente 1.3) para todos los servicios HTTP externos a través de Vercel

  • Las cabeceras HSTS en las aplicaciones web de producción evitan ataques de degradación de protocolo

  • Cifrado AES-256 en reposo para todas las bases de datos de producción a través de Supabase

Gestión de Datos de IA

  • El registro de adquisición de datos rastrea los detalles de origen para el contenido de la base de conocimientos propia

  • El seguimiento de la procedencia de los datos a lo largo del ciclo de vida de la IA garantiza la trazabilidad en nuestra arquitectura RAG

  • El control de versiones y los registros de acceso gestionan los datos para el desarrollo del sistema de IA

  • Controles de calidad de datos según criterios establecidos antes de su uso en sistemas de IA

  • Los métodos de preparación aprobados estandarizan el procesamiento RAG para una guía de cumplimiento coherente

Derechos de Protección de Datos

  • Los derechos de los interesados (acceso, supresión, rectificación) se cumplen dentro de los plazos legales requeridos por el RGPD

  • Eliminación segura para activos fuera de servicio que almacenan datos sensibles

  • Protección de respaldos: los respaldos siguen las mismas reglas de cifrado, retención y acceso que los datos de producción

Para obtener detalles completos sobre nuestras prácticas de manejo de datos, consulte nuestra documentación de Privacidad de Datos y Cumplimiento del RGPD.

Política de Desarrollo Seguro

Integramos la seguridad en nuestro ciclo de vida de desarrollo, desde la confirmación del código hasta el despliegue en producción.

Protección del Código Fuente

  • Crear una rama dedicada para cualquier desarrollo nuevo

  • Las ramas predeterminadas protegidas evitan los 'force pushes' en los repositorios de código de producción

  • Requisitos de Pull Request: no se permiten confirmaciones directas en ramas protegidas

  • Revisión de código obligatoria y aprobación antes de la fusión

  • Los mensajes de commit estandarizados mejoran la trazabilidad y la capacidad de auditoría

Pruebas de Seguridad

  • Se ejecutan pruebas automatizadas para cada commit y pull request antes de la fusión

  • El escaneo de secretos detecta automáticamente credenciales expuestas mediante Semgrep

  • Escaneo de vulnerabilidades de dependencias en todas las librerías de terceros mediante Semgrep SCA

  • Escaneo de imágenes de contenedores antes del despliegue (cuando proceda)

  • DAST (Pruebas Dinámicas de Seguridad de Aplicaciones) en entornos de staging

  • SAST (Pruebas Estáticas de Seguridad de Aplicaciones) mediante Semgrep en todos los cambios de código

  • Bloqueo de despliegue cuando se detectan vulnerabilidades críticas o de alta gravedad

  • Pruebas de penetración anuales en los sistemas de producción

Flujo de Trabajo de Desarrollo

  • No trabajar en funciones nuevas mientras existan errores clave que afecten a los usuarios

  • Ramas específicas por función para desarrollo y pruebas aislados

  • El entorno de staging refleja la producción para las pruebas previas al lanzamiento

  • Se requieren pruebas locales antes de confirmar cambios en ramas compartidas

  • Un SDLC documentado (Ciclo de Vida de Desarrollo de Software) guía los procesos de desarrollo

  • Sistema de seguimiento de problemas para informar y rastrear errores del producto

  • El escaneo de seguridad realiza la revisión del código e identifica problemas de seguridad

  • Se requieren pruebas unitarias y de integración para toda la lógica de negocio crítica

Controles de Seguridad

  • Los linters de seguridad (ESLint) evitan patrones de programación inseguros en TypeScript

  • Los despliegues automatizados siguen procedimientos seguros y repetibles a través de Vercel

  • Pipelines de despliegue continuo para cambios de código aprobados

  • El acceso al VCS sigue el mínimo privilegio con MFA obligatorio

  • Procedimientos de rotación de credenciales se ejecutan inmediatamente tras detectar credenciales filtradas

  • Bóvedas seguras gestionan secretos en CI/CD y entornos de desarrollo

  • Registro de actividad en los sistemas de control de versiones (registros de auditoría de GitHub)

Seguridad de la Aplicación

  • Políticas de CORS configuradas adecuadamente para restringir el acceso no autorizado

  • Las cabeceras CSP (Política de Seguridad de Contenido) previenen ataques XSS e inyecciones

  • Seguridad de cookies: indicadores HttpOnly y Secure mediante Supabase Auth

  • Protección CSRF en todas las operaciones que cambian el estado

  • Certificate pinning para conexiones API críticas

  • Seguridad en mensajes de error: los errores internos son gestionados por Sentry y no se exponen a los usuarios

  • Protección contra inyección SQL mediante consultas parametrizadas y ORMs en Supabase PostgreSQL

  • Protección XSS a través de la sanitización de entradas y codificación de salidas

  • Validación de entradas por tipo, formato, longitud y rango antes del procesamiento

  • Limitación de tasa (rate limiting) en endpoints críticos (autenticación, consultas de IA)

  • Seguridad de webhooks mediante verificación de firma y autenticación

Protección de Datos en el Código

  • Sin contraseñas en texto plano: cifrado a nivel de fila en la base de datos

  • Solo dependencias compatibles: sin librerías obsoletas o sin soporte en producción

  • Configuración externalizada: sin secretos integrados directamente en el código de la aplicación

  • Migraciones con control de versiones para cambios en el esquema de la base de datos

  • Sin registros sensibles: las credenciales y la PII (información de identificación personal) nunca se registran

  • Se prefieren los lenguajes con seguridad de memoria (TypeScript) para nuevos desarrollos

Licencias y Cumplimiento

  • Solo software con licencia: se requieren herramientas debidamente licenciadas, aprobadas y pagadas

  • Sin licencias copyleft (GPL v3) para proteger el código propio

  • Verificación automatizada de licencias en los pipelines de CI/CD mediante Semgrep

  • Comunicación de cambios a las partes interesadas internas y usuarios externos para actualizaciones importantes

  • Procesos de control de calidad para todos los lanzamientos a producción

Nuestra integración con Semgrep escanea automáticamente cada cambio de código en busca de vulnerabilidades, secretos expuestos y problemas de cumplimiento de licencias antes del despliegue.

Política de Infraestructura Segura

Nuestra infraestructura nativa de la nube implementa defensa en profundidad con controles de seguridad automatizados.

Seguridad de Red

  • Protección de Firewall de Aplicaciones Web (WAF) mediante Vercel para todas las aplicaciones orientadas a Internet

  • Solo protocolos cifrados (TLS, SSH) para todas las conexiones externas

  • La segmentación de red aísla los entornos de producción, staging y desarrollo en una arquitectura serverless

  • Reglas de firewall configuradas con el mínimo privilegio (denegación por defecto) a través de Vercel

  • Protección DDoS activada para recursos orientados a Internet a través de Vercel

  • Mínimo TLS 1.2 para todas las comunicaciones cifradas

  • Se prefiere TLS directo sobre STARTTLS para conexiones cifradas

  • DNSSEC activado para zonas DNS gestionadas para evitar la suplantación de identidad de DNS

  • Autenticación de correo electrónico (DKIM, SPF, DMARC) configurada para los dominios de correo saliente

Gestión de Infraestructura

  • Infraestructura como Código (IaC) gestiona las configuraciones de Vercel para mayor repetibilidad

  • Registro centralizado mediante Sentry para todos los componentes de la infraestructura, incluida la captura de ID de usuario (solo UUID) en producción para la correlación de errores y una resolución de problemas más rápida

  • Auto-escalado configurado mediante Vercel para mantener la disponibilidad durante picos de tráfico

  • Alertas automatizadas para incidentes de seguridad y comportamientos anómalos mediante Semgrep y Sentry

  • Replicación de base de datos y conmutación por error automática para bases de datos críticas a través de Supabase Enterprise

  • Restricciones de cuenta raíz: mínimo privilegio de IAM, la cuenta raíz no se utiliza para operaciones diarias

  • Pistas de auditoría activadas (registros de Supabase) y monitoreadas para cumplimiento

  • Documentación de arquitectura mantenida y revisada anualmente

Endurecimiento del Sistema (Hardening)

  • Cifrado de disco activado en todos los volúmenes de almacenamiento en reposo a través de Supabase

  • Contenedores sin raíz (rootless) donde sea aplicable para reducir los riesgos de escalada de privilegios

  • Parches de seguridad automatizados en entorno serverless

  • Parches críticos aplicados en un plazo de 7 días, parches estándar en 30 días

  • Solo SO compatible que reciba actualizaciones de seguridad activas (garantizado por el serverless de Vercel)

  • Versiones LTS para estabilidad en producción

  • Sincronización NTP para marcas de tiempo precisas en los registros

  • Rotación trimestral de credenciales para credenciales de infraestructura (claves API, tokens)

Acceso y Autenticación

  • Bóvedas seguras (KMS en la nube) para el almacenamiento de claves criptográficas

  • Servidores bastión para el acceso administrativo a la infraestructura de producción

  • Acceso de mínimo privilegio mediante controles IAM

  • Se requiere acceso seguro nativo de la nube/VPN/SSH para la infraestructura de producción

  • Cuentas de servicio con privilegios limitados para procesos automatizados

  • Gestión automatizada de certificados a través de Vercel (Let's Encrypt)

  • Monitoreo de expiración de certificados con alertas a los 30, 14 y 7 días antes de vencer

Cumplimiento

  • Controles de residencia de datos para clientes de la UE (AWS Frankfurt) para cumplir con el RGPD

Política de Seguridad de los Recursos Humanos

Garantizamos la concienciación y la responsabilidad en materia de seguridad en todo nuestro equipo a lo largo del ciclo de vida del empleado.

Estructura Organizativa

  • El organigrama visualiza la estructura de la empresa, actualizado trimestralmente

  • Roles documentados y responsabilidades claramente definidas (modelo RACI para equipos pequeños)

  • Las descripciones de puestos documentan los requisitos relacionados con la seguridad para la contratación

Contratación y Onboarding

  • Los procedimientos de contratación documentados garantizan contrataciones verificadas y reducen los riesgos internos

  • Los contratos de trabajo incluyen cláusulas de confidencialidad y acuerdos de no divulgación (NDA) para proteger la propiedad intelectual

  • El onboarding de seguridad incluye la configuración de MFA y capacitación en políticas de seguridad

  • Capacitación en concienciación de seguridad completada por todos los empleados

Gestión Continua

  • Las evaluaciones de desempeño anuales apoyan el desarrollo de habilidades y la concienciación sobre seguridad

  • Cumplimiento de políticas: los empleados que violen las políticas de seguridad se enfrentan a sanciones documentadas

  • Notificación de incidentes a través del sistema de tickets o correo electrónico de soporte para inquietudes de seguridad

Desvinculación (Offboarding)

  • Los procedimientos de desvinculación documentados garantizan la desactivación de cuentas y la revocación de acceso (crítico para roles de superadministrador)

Competencias Específicas de IA

  • Competencias del personal de IA determinadas y aseguradas a través de capacitación o contratación

  • La documentación de recursos de IA rastrea las habilidades y contribuciones del equipo

  • Concienciación sobre la política de IA: el personal comprende su rol en el desarrollo responsable de la IA

Política de Seguridad de las Operaciones

Mantenemos la seguridad operativa a través del monitoreo, la respuesta a incidentes y la mejora continua.

Operaciones de Infraestructura

  • Diagrama de arquitectura de red mantenido y actualizado anualmente

  • Registro de cambios en la infraestructura para pistas de auditoría y gestión de cambios

  • Sincronización NTP diaria para marcas de tiempo precisas en los registros

  • Actualizaciones trimestrales del SO del servidor mediante automatización serverless

  • Agregación de registros centralizada a través de Sentry, capturando IDs de usuario (solo UUID) en producción para correlación de errores

  • Retención de registros de 30 días para registros de producción de la aplicación

Gestión de Amenazas

  • Protección WAF para aplicaciones de producción (equivalente en Vercel)

  • Pruebas de penetración anuales del entorno de producción

  • Monitoreo activo de amenazas para la infraestructura en la nube mediante Semgrep y Sentry

  • Monitoreo en tiempo real mediante Sentry para una respuesta proactiva

  • Alertas automatizadas para incidentes de seguridad

Respuesta a Incidentes

  • Plan formal de respuesta a incidentes para problemas críticos y de seguridad

  • Alertas de Slack para notificación inmediata de interrupciones en producción

  • Historial de revisión de incidentes mantenido en un repositorio centralizado para lecciones aprendidas

  • Intercambio de eventos de seguridad con las partes pertinentes para mayor transparencia

  • Cumplimiento NIS2: incidentes significativos de ciberseguridad reportados a las autoridades (alerta temprana en 24 horas, notificación del incidente sin demora indebida, informe final en un mes)

Seguridad del Correo Electrónico

  • Los protocolos SPF, DKIM, DMARC aseguran los servidores de correo electrónico

  • Filtros de seguridad para protección contra spam y malware

Comunicación y Transparencia

  • El portal de autoservicio proporciona documentación del producto a los usuarios

  • El sitio web público describe claramente las características y beneficios

  • Correo electrónico de reporte de seguridad para la divulgación coordinada de vulnerabilidades

  • El Centro de Confianza (Trust Center) detalla las prácticas de seguridad y certificaciones de cumplimiento

  • Página de estado pública comunica el estado del servicio e incidentes (planificado)

Mitigación de Riesgos

  • La cobertura de ciberseguro protege las operaciones comerciales del impacto financiero de los incidentes de seguridad

Operaciones de IA

  • Monitoreo del sistema de IA para rendimiento y errores, con remediación mediante reentrenamiento, corrección de código o actualizaciones

  • Registro de eventos de IA en fases clave del ciclo de vida con mantenimiento exhaustivo de registros

Política de Seguridad Física

Protegemos los activos físicos y la infraestructura mediante controles de seguridad adecuados.

  • La seguridad del centro de datos depende de proveedores certificados (Supabase/Vercel con certificaciones ISO 27001, SOC 2 Tipo II)

  • Mitigación de amenazas para ubicaciones físicas (extintores, etc.) como parte de la evaluación de riesgos

  • Medidas de seguridad física implementadas para cualquier activo físico

  • Control de acceso a la oficina mediante sistema de tarjetas o llaves (si corresponde)

  • Registro de visitantes en sistema digital para el seguimiento del acceso a la oficina

Política de Gestión de Riesgos

Identificamos, evaluamos y tratamos sistemáticamente los riesgos para nuestra seguridad de la información y sistemas de IA.

Gestión de Riesgos General

  • Las evaluaciones anuales de riesgos o según sea necesario identifican y evalúan las amenazas de seguridad

  • EIPD (Evaluaciones de Impacto en la Protección de Datos) para actividades de procesamiento de datos personales de alto riesgo

Gestión de Riesgos de IA

  • Identificación anual de riesgos de IA para el sistema de gestión de IA

  • Evaluación de riesgos del sistema de IA utilizando puntuación de probabilidad e impacto

  • Tratamiento de riesgos aplicando controles, aceptando, transfiriendo o evitando riesgos

  • Evaluaciones de impacto en individuos y sociedades con resultados documentados para revisiones de riesgo

  • Intervalos planificados o evaluaciones activadas por cambios con resultados documentados

  • Planes de tratamiento de riesgos implementados, verificados y actualizados con documentación

Política de Terceros

Evaluamos y gestionamos los riesgos de seguridad de proveedores y prestadores de servicios externos.

  • Evaluaciones anuales de proveedores para proveedores externos como OpenAI y ConvertAPI

  • Responsabilidades del ciclo de vida de la IA asignadas entre la organización, socios, proveedores, clientes y terceros

  • Revisión de proveedores para la alineación con la IA antes de utilizar servicios, productos o materiales

  • Integración de las necesidades del cliente en el enfoque de IA responsable

  • Evaluación de riesgos de ciberseguridad en la cadena de suministro, incluyendo dependencias de seguridad y medidas de mitigación

Desarrollamos acuerdos de Retención de Datos Cero (ZDR) con proveedores de IA como Mistral para mejorar la protección de datos y aclarar las responsabilidades de terceros.

Política de Gestión de IA

Gobernamos nuestros sistemas de IA a través de un marco de gestión integral alineado con ISO 42001.

Sistema de Gestión de IA

  • Cuestiones externas e internas pertinentes a los sistemas de IA determinadas y documentadas

  • Partes interesadas identificadas junto con sus requisitos

  • Límites y aplicabilidad del sistema de gestión de IA definidos

  • Mejora continua del sistema de gestión de IA

  • Compromiso de la alta dirección demostrado (enfoque de "predicar con el ejemplo" liderado por el CEO)

Marco de la Política de IA

  • Política de IA documentada que proporciona el marco para los objetivos y la mejora

  • Alineación de la política con otras políticas de la organización

  • Revisiones a intervalos planificados de la política de IA

  • Objetivos de IA medibles coherentes con la política, monitoreados y actualizados (por ejemplo, métricas de reducción de alucinaciones)

Cambios en el Sistema de IA

  • Cambios planificados en el sistema de gestión de IA ejecutados de forma sistemática (por ejemplo, adición de nuevos proveedores de IA)

  • Asignación de recursos para el sistema de gestión de IA determinada y proporcionada

  • Marco de comunicación para las comunicaciones internas y externas del sistema de IA (incluye el Centro de Confianza)

  • Protección de documentos para la información del sistema de gestión de IA

Gestión de Procesos de IA

  • Procesos basados en requisitos planificados, implementados y controlados

  • Monitoreo del desempeño y evaluación con retención de evidencia

  • Auditorías internas a intervalos planificados

  • Revisiones por la dirección para la idoneidad del sistema de gestión de IA

  • Acciones correctivas para no conformidades con documentación

Política de Evaluación de Impacto de la IA

Evaluamos las consecuencias potenciales de nuestros sistemas de IA en los individuos y la sociedad.

  • Evaluaciones de impacto anuales de las consecuencias del sistema de IA en individuos y sociedades

  • Resultados documentados retenidos para fines de cumplimiento y auditoría

  • Evaluación del impacto individual/grupal considerando la privacidad del usuario y los sesgos potenciales

  • Evaluación del impacto social alineada con la Ley de IA de la UE y consideraciones éticas más amplias

Política del Ciclo de Vida del Sistema de IA

Gestionamos los sistemas de IA de forma responsable desde el diseño hasta el despliegue y la operación.

Objetivos de Desarrollo

  • Objetivos de IA responsable identificados, documentados e integrados en el desarrollo de RAG

  • Directrices de responsabilidad seguidas en el diseño y desarrollo para reducir las alucinaciones

Diseño y Desarrollo

  • Especificación de requisitos para los sistemas de IA documentada

  • Documentación de diseño basada en objetivos y requisitos

  • Verificación y validación mediante pruebas de regresión antes del despliegue

  • Despliegue basado en requisitos: los sistemas se despliegan solo después de cumplir con los requisitos

  • Documentación técnica proporcionada a las partes interesadas (equipo y usuarios)

Uso e Información

  • Información al usuario determinada y proporcionada (guías de usuario que explican las limitaciones)

  • Capacidad de reportar impactos adversos para los comentarios de los usuarios

  • Notificaciones por correo electrónico para incidentes de IA para generar confianza

  • Obligaciones de reporte a las partes interesadas determinadas y documentadas

  • Se siguen las directrices de uso responsable para los sistemas de IA

  • Objetivos de uso para IA responsable identificados y documentados

  • El monitoreo del propósito previsto asegura un uso enfocado en el cumplimiento

Actualizaciones y Revisiones de Políticas

Estas políticas se revisan y actualizan periódicamente para mantener la alineación con nuestra postura de seguridad en evolución, los requisitos de cumplimiento y las prácticas operativas. Los cambios materiales se comunican a las partes interesadas a través de los canales apropiados.

Nuestras políticas de seguridad reflejan nuestro compromiso de "practicar lo que predicamos" como una plataforma SaaS centrada en el cumplimiento. Implementamos los mismos controles de seguridad robustos que ayudamos a nuestros clientes a alcanzar.

Recursos Relacionados

¿Te fue útil?