ISMS Copilot
Seguridad

Políticas de Seguridad

Esta página documenta las políticas de seguridad adoptadas formalmente por ISMS Copilot 2.0 como parte de nuestro Sistema de Gestión de Seguridad de la Información (SGSI). Estas políticas respaldan nuestro cumplimiento con los estándares ISO 27001, SOC 2 e ISO 42001, y reflejan nuestro compromiso con el desarrollo responsable de la IA y la protección de datos.

Estas políticas guían nuestras operaciones internas y la implementación técnica. Para obtener más detalles sobre cómo protegemos sus datos en la práctica, consulte nuestro Resumen de Seguridad y Protección de Datos.

Política de Control de Acceso

Protegemos el acceso a nuestros sistemas y datos mediante estrictos controles de autenticación y autorización.

Autenticación y Autorización

  • La autenticación de múltiples factores (MFA) es obligatoria para todos los usuarios que acceden a servicios críticos

  • Los privilegios de acceso se otorgan siguiendo el principio de mínimo privilegio

  • Se requieren cuentas identificadas de forma única para todo el acceso a producción, sin credenciales compartidas

  • Los privilegios de acceso de los empleados se revisan trimestralmente para asegurar su alineación con las funciones actuales

  • Todos los miembros del equipo utilizan gestores de contraseñas para asegurar credenciales y claves de API

Gestión de Sesiones

  • Se aplican límites de duración de sesión y requisitos de re-autenticación

  • Se requieren conexiones seguras mediante TLS para todo el acceso de producción

  • El acceso a la base de datos está restringido únicamente a redes internas

Ciclo de Vida del Acceso

  • Se verifica la idoneidad del rol en el aprovisionamiento de acceso antes de otorgar permisos

  • La baja de empleados sigue procedimientos documentados con la desactivación de la cuenta en un plazo de 24 horas

  • El acceso de emergencia se proporciona mediante cuentas de "break-glass" con registro obligatorio y revisión posterior al evento

Nuestra arquitectura de seguridad a nivel de fila garantiza el aislamiento completo de los datos entre las cuentas de los clientes, evitando el acceso no autorizado incluso dentro de nuestra infraestructura.

Política de Gestión de Activos

Mantenemos un inventario exhaustivo y protección de todos los activos de la empresa, desde los dispositivos de los empleados hasta las bases de conocimiento propias.

Seguridad de los Dispositivos

  • El bloqueo automático de pantalla está configurado en todos los dispositivos de los empleados

  • El cifrado en reposo protege los datos sensibles en los dispositivos del equipo

  • Las actualizaciones de software se mantienen automáticamente para reducir la exposición a vulnerabilidades

  • El software anti-malware y los firewalls configurados protegen contra amenazas

  • La Gestión de Dispositivos Móviles (MDM) aplica políticas de seguridad en todos los dispositivos

  • Solo sistemas operativos compatibles: los dispositivos deben ejecutar SO/software con soporte activo del proveedor

Manejo de Datos

  • Se prohíben los dispositivos de almacenamiento extraíbles para datos de la empresa

  • Se requiere el borrado seguro antes de que cualquier dispositivo sea vendido, transferido o desechado

  • Solo tareas autorizadas: los dispositivos de los empleados están restringidos al uso comercial autorizado

  • Se requieren ubicaciones físicas seguras al acceder a los datos de la empresa de forma remota

Inventario de Activos

  • El seguimiento de activos mantiene un inventario sistemático de todos los activos de la empresa, incluidas las bases de conocimiento propias y el código fuente

  • Las revisiones anuales garantizan la precisión y relevancia del inventario

  • Los procesos de eliminación segura protegen los activos retirados contra la fuga de datos

Recursos del Sistema de IA

  • Los recursos del ciclo de vida de la IA están identificados y documentados (proveedores de LLM, componentes de arquitectura RAG)

  • Los recursos de datos para los sistemas de IA están documentados (base de conocimientos propia)

  • Los recursos de herramientas están documentados (Semgrep, Sentry)

  • Los recursos de computación están documentados (infraestructura de Vercel, Supabase)

Política de Continuidad de Negocio, Respaldo y Recuperación

Mantenemos la resiliencia a través de procedimientos documentados de recuperación ante desastres y sistemas de respaldo automatizados.

Recuperación ante Desastres

  • El Plan de Recuperación ante Desastres (DRP) se mantiene, cuenta con la aprobación de la dirección y se actualiza anualmente

  • Los objetivos de recuperación definen RTO (Objetivos de Tiempo de Recuperación) y RPO (Objetivos de Punto de Recuperación) para todos los sistemas críticos

  • Las pruebas anuales validan los procedimientos de recuperación ante desastres

  • Las revisiones anuales evalúan las estrategias de continuidad y redundancia del negocio, especialmente después de cambios importantes como la adición de proveedores de IA

Requisitos de Respaldo

  • Respaldos continuos de las bases de datos de producción que protegen los historiales de chat de los clientes y los archivos cargados, con recuperación a un punto en el tiempo activada

  • Mínimo de 7 días de retención para los respaldos

  • Cifrado para todos los respaldos en reposo y en tránsito mediante el cifrado de Supabase

  • Acceso restringido a los sistemas de respaldo con registro y monitoreo exhaustivos

  • Pruebas de restauración semestrales que validan la integridad de los respaldos y los procedimientos de recuperación

  • Validación anual de conmutación por error (failover) para mecanismos de redundancia y recuperación multirregión

Resiliencia del Proveedor de IA

  • El monitoreo de disyuntores (circuit breaker) rastrea la salud del proveedor principal de IA (Anthropic) mediante el análisis de tasas de error en ventanas deslizantes

  • Conmutación automática por error al proveedor de respaldo (OpenAI) cuando el proveedor principal experimenta interrupciones o degradación del rendimiento

  • Las sondas de recuperación automática prueban la salud del proveedor principal y restauran el enrutamiento normal cuando se recupera

  • Notificación al usuario durante el failover a través de banners de alerta persistentes mientras se mantiene la continuidad del servicio

  • Limitación para el modo exclusivo de la UE: Los usuarios de Protección Avanzada de Datos (exclusivo de Mistral AI) no tienen failover debido a la disponibilidad de un único proveedor en la UE; trabajando para añadir un segundo proveedor en la UE

  • Registro de eventos de failover y revisión posterior al incidente para la mejora continua

Política de Gestión de Datos

Manejamos los datos con controles estrictos alineados con el GDPR y las mejores prácticas de protección de datos.

Ciclo de Vida de los Datos

  • El sistema de clasificación de inventario de datos categoriza todos los datos (Públicos, Internos, Confidenciales, Secretos)

  • Eliminación segura previa solicitud formal o tras la expiración del periodo de retención, en apoyo de los derechos del GDPR

  • Minimización de datos: solo se recopilan y conservan los datos necesarios para fines definidos

  • Bases legales de procesamiento documentadas (consentimiento, contrato, obligación legal, intereses legítimos)

  • Los registros de actividades de procesamiento documentan fines, categorías de datos, destinatarios, periodos de retención y medidas de seguridad

Cifrado y Transporte

  • Mínimo TLS 1.2 (idealmente 1.3) para todos los servicios HTTP externos a través de Vercel

  • Los encabezados HSTS en las aplicaciones web de producción evitan ataques de degradación de protocolo

  • Cifrado AES-256 en reposo para todas las bases de datos de producción a través de Supabase

Gestión de Datos de IA

  • El registro de adquisición de datos rastrea los detalles de la fuente para el contenido de la base de conocimientos propia

  • El seguimiento de la procedencia de los datos a lo largo del ciclo de vida de la IA garantiza la trazabilidad en nuestra arquitectura RAG

  • El control de versiones y los registros de acceso gestionan los datos para el desarrollo del sistema de IA

  • Verificaciones de calidad de datos según criterios establecidos antes de su uso en sistemas de IA

  • Los métodos de preparación aprobados estandarizan el procesamiento RAG para obtener una guía de cumplimiento coherente

Derechos de Protección de Datos

  • Los derechos de los interesados (acceso, eliminación, rectificación) se cumplen dentro de los plazos del GDPR legalmente requeridos

  • Eliminación segura para activos retirados que almacenan datos sensibles

  • Protección de respaldos: los respaldos siguen las mismas reglas de cifrado, retención y acceso que los datos de producción

Para obtener detalles completos sobre nuestras prácticas de manejo de datos, consulte nuestra documentación sobre Privacidad de Datos y Cumplimiento del GDPR.

Política de Desarrollo Seguro

Integramos la seguridad en nuestro ciclo de vida de desarrollo, desde el commit de código hasta el despliegue en producción.

Protección del Código Fuente

  • Crear una rama dedicada para cualquier desarrollo nuevo

  • Las ramas predeterminadas protegidas evitan los 'force pushes' en los repositorios de código de producción

  • Requisitos de Pull Request: no se permiten commits directos a ramas protegidas

  • Revisión de código obligatoria y aprobación antes de la fusión

  • Los mensajes de commit estandarizados mejoran la trazabilidad y la capacidad de auditoría

Pruebas de Seguridad

  • Se ejecutan pruebas automatizadas para cada commit y pull request antes de la fusión

  • El escaneo de secretos detecta automáticamente credenciales expuestas a través de Semgrep

  • Escaneo de vulnerabilidades de dependencias en todas las librerías de terceros mediante Semgrep SCA

  • Escaneo de imágenes de contenedores antes del despliegue (cuando aplique)

  • DAST (Pruebas Dinámicas de Seguridad de Aplicaciones) en entornos de staging

  • SAST (Pruebas Estáticas de Seguridad de Aplicaciones) a través de Semgrep en todos los cambios de código

  • Bloqueo de despliegues cuando se detectan vulnerabilidades críticas o de alta gravedad

  • Pruebas de penetración anuales en sistemas de producción

Flujo de Trabajo de Desarrollo

  • No trabajar en nuevas funciones mientras los errores clave sigan afectando a los usuarios

  • Ramas específicas por función para desarrollo y pruebas aislados

  • El entorno de staging refleja la producción para pruebas previas al lanzamiento

  • Se requieren pruebas locales antes de realizar commits a ramas compartidas

  • El SDLC documentado (Ciclo de Vida de Desarrollo de Software) guía los procesos de desarrollo

  • Sistema de seguimiento de incidencias para reportar y rastrear errores de producto

  • El escaneo de seguridad realiza la revisión del código e identifica problemas de seguridad

  • Se requieren pruebas unitarias y de integración para toda la lógica de negocio crítica

Controles de Seguridad

  • Los linters de seguridad (ESLint) evitan patrones de codificación inseguros en TypeScript

  • Los despliegues automatizados siguen procedimientos seguros y repetibles a través de Vercel

  • Canalizaciones de despliegue continuo para cambios de código aprobados

  • El acceso al VCS sigue el mínimo privilegio con MFA obligatorio

  • Los procedimientos de rotación de credenciales se ejecutan inmediatamente tras la detección de credenciales filtradas

  • Los almacenes seguros (vaults) gestionan los secretos en CI/CD y entornos de desarrollo

  • Registro de actividad en los Sistemas de Control de Versiones (registros de auditoría de GitHub)

Seguridad de las Aplicaciones

  • Políticas de CORS correctamente configuradas para restringir el acceso no autorizado

  • Los encabezados CSP (Política de Seguridad de Contenido) previenen ataques XSS e inyección

  • Seguridad de cookies: indicadores HttpOnly y Secure mediante Supabase Auth

  • Protección CSRF en todas las operaciones que cambian el estado

  • Pinning de certificados para conexiones API críticas

  • Seguridad en mensajes de error: los errores internos son gestionados por Sentry, no se exponen a los usuarios

  • Protección contra inyección SQL mediante consultas parametrizadas y ORMs en Supabase PostgreSQL

  • Protección XSS mediante saneamiento de entradas y codificación de salidas

  • Validación de entrada por tipo, formato, longitud y rango antes del procesamiento

  • Limitación de tasa (rate limiting) en endpoints críticos (autenticación, consultas de IA)

  • Seguridad de webhooks mediante verificación de firma y autenticación

Protección de Datos en el Código

  • Sin contraseñas en texto plano: cifrado a nivel de fila de base de datos

  • Solo dependencias compatibles: sin librerías obsoletas o sin soporte en producción

  • Configuración externalizada: sin secretos embebidos en el código de la aplicación

  • Migraciones controladas por versiones para cambios en el esquema de la base de datos

  • Sin registros sensibles: las credenciales y la PII nunca se registran

  • Se prefieren lenguajes con gestión segura de memoria (TypeScript) para nuevos desarrollos

Licencias y Cumplimiento

  • Solo software con licencia: se requieren herramientas debidamente licenciadas, aprobadas y pagadas

  • Sin licencias copyleft (GPL v3) para proteger el código propio

  • Verificación automatizada de licencias en las canalizaciones de CI/CD a través de Semgrep

  • Comunicación de cambios a las partes interesadas internas y usuarios externos para actualizaciones importantes

  • Procesos de control de calidad para todos los lanzamientos de producción

Nuestra integración con Semgrep escanea automáticamente cada cambio de código en busca de vulnerabilidades, secretos expuestos y problemas de cumplimiento de licencias antes del despliegue.

Política de Infraestructura Segura

Nuestra infraestructura nativa de la nube implementa defensa en profundidad con controles de seguridad automatizados.

Seguridad de Red

  • Protección mediante Web Application Firewall (WAF) a través de Vercel para todas las aplicaciones orientadas a Internet

  • Solo protocolos cifrados (TLS, SSH) para todas las conexiones externas

  • La segmentación de red aísla los entornos de producción, staging y desarrollo en la arquitectura serverless

  • Reglas de firewall configuradas con el mínimo privilegio (denegación por defecto) a través de Vercel

  • Protección DDoS habilitada para recursos orientados a Internet a través de Vercel

  • Mínimo TLS 1.2 para todas las comunicaciones cifradas

  • Se prefiere TLS directo sobre STARTTLS para conexiones cifradas

  • DNSSEC habilitado para zonas DNS gestionadas para prevenir la suplantación de DNS

  • Autenticación de correo electrónico (DKIM, SPF, DMARC) configurada para dominios de correo saliente

Gestión de Infraestructura

  • Infraestructura como Código (IaC) gestiona las configuraciones de Vercel para que sean repetibles

  • Registro centralizado a través de Sentry para todos los componentes de la infraestructura, incluida la captura de ID de usuario (solo UUID) en producción para la correlación de errores y una resolución de problemas más rápida

  • Auto-escalado configurado a través de Vercel para mantener la disponibilidad durante picos de tráfico

  • Alertas automatizadas para incidentes de seguridad y comportamientos anómalos a través de Semgrep y Sentry

  • Replicación de bases de datos y conmutación automática por error para bases de datos críticas a través de Supabase Enterprise

  • Restricciones de cuenta raíz: mínimo privilegio de IAM, el usuario raíz no se utiliza para operaciones diarias

  • Pistas de auditoría habilitadas (registros de Supabase) y monitoreadas para cumplimiento

  • Documentación de arquitectura mantenida y revisada anualmente

Robustecimiento del Sistema (Hardening)

  • Cifrado de disco habilitado en todos los volúmenes de almacenamiento en reposo a través de Supabase

  • Contenedores sin privilegios de raíz (rootless) donde aplique para reducir riesgos de escalada de privilegios

  • Parches de seguridad automatizados en el entorno serverless

  • Parches críticos aplicados en 7 días, parches estándar en 30 días

  • Solo SO compatible que reciba actualizaciones de seguridad activas (garantizado por Vercel serverless)

  • Versiones LTS para estabilidad en producción

  • Sincronización NTP para marcas de tiempo precisas en los registros

  • Rotación trimestral de credenciales para credenciales de infraestructura (claves de API, tokens)

Acceso y Autenticación

  • Bóvedas seguras (KMS en la nube) para el almacenamiento de claves criptográficas

  • Bastion hosts para acceso administrativo a la infraestructura de producción

  • Acceso de mínimo privilegio mediante controles de IAM

  • Se requiere acceso seguro remoto (VPN/SSH/nativo de nube) para la infraestructura de producción

  • Cuentas de servicio con privilegios limitados para procesos automatizados

  • Gestión automatizada de certificados a través de Vercel (Let's Encrypt)

  • Monitoreo de expiración de certificados con alertas a los 30, 14 y 7 días antes del vencimiento

Cumplimiento

  • Controles de residencia de datos para clientes de la UE (AWS Frankfurt) para cumplir con el GDPR

Política de Seguridad de Recursos Humanos

Garantizamos la concienciación y la responsabilidad en materia de seguridad en todo nuestro equipo a lo largo del ciclo de vida del empleado.

Estructura Organizativa

  • El organigrama visualiza la estructura de la empresa, actualizado trimestralmente

  • Roles documentados y responsabilidades claramente definidas (modelo RACI para equipos pequeños)

  • Las descripciones de puesto documentan los requisitos relacionados con la seguridad para la contratación

Contratación e Incorporación

  • Los procedimientos de contratación documentados garantizan contrataciones verificadas y reducen los riesgos internos

  • Los contratos de trabajo incluyen cláusulas de confidencialidad y acuerdos de no divulgación (NDA) para proteger la propiedad intelectual

  • La incorporación de seguridad incluye la configuración de MFA y formación sobre políticas de seguridad

  • Formación en concienciación de seguridad completada por todos los empleados

Gestión Continua

  • Las evaluaciones de desempeño anuales apoyan el desarrollo de habilidades y la concienciación sobre seguridad

  • Cumplimiento de políticas: los empleados que infringen las políticas de seguridad se enfrentan a sanciones documentadas

  • Notificación de incidentes mediante sistema de tickets o correo electrónico de soporte para problemas de seguridad

Salida de Empleados

  • Los procedimientos de baja documentados garantizan la desactivación de cuentas y la revocación de accesos (crítico para roles de superadministrador)

Competencias Específicas de IA

  • Las competencias del personal de IA se determinan y garantizan mediante formación o contratación

  • La documentación de recursos de IA rastrea las habilidades y contribuciones del equipo

  • Concienciación sobre la política de IA: el personal entiende su papel en el desarrollo responsable de la IA

Política de Seguridad de las Operaciones

Mantenemos la seguridad operativa a través del monitoreo, la respuesta a incidentes y la mejora continua.

Operaciones de Infraestructura

  • Diagrama de arquitectura de red mantenido y actualizado anualmente

  • Registro de cambios en la infraestructura para pistas de auditoría y gestión de cambios

  • Sincronización NTP diaria para marcas de tiempo precisas en los registros

  • Actualizaciones trimestrales del SO del servidor mediante automatización serverless

  • Agregación de registros centralizada a través de Sentry, capturando IDs de usuario (solo UUID) en producción para la correlación de errores

  • Retención de registros de 30 días para registros de producción de aplicaciones

Gestión de Amenazas

  • Protección WAF para aplicaciones de producción (equivalente de Vercel)

  • Pruebas de penetración anuales del entorno de producción

  • Monitoreo activo de amenazas para la infraestructura en la nube a través de Semgrep y Sentry

  • Monitoreo en tiempo real a través de Sentry para una respuesta proactiva

  • Alertas automatizadas para incidentes de seguridad

Respuesta a Incidentes

  • Plan formal de respuesta a incidentes para problemas críticos y de seguridad

  • Alertas de Slack para notificación inmediata de interrupciones de producción

  • Historial de revisión de incidentes mantenido en un repositorio centralizado para lecciones aprendidas

  • Intercambio de eventos de seguridad con las partes pertinentes para la transparencia

  • Cumplimiento de NIS2: los incidentes significativos de ciberseguridad se notifican a las autoridades (alerta temprana en 24 horas, notificación del incidente sin demora indebida, informe final en un mes)

Seguridad del Correo Electrónico

  • Los protocolos SPF, DKIM, DMARC aseguran los servidores de correo electrónico

  • Filtros de seguridad para protección contra spam y malware

Comunicación y Transparencia

  • El portal de autoservicio proporciona documentación de producto a los usuarios

  • El sitio web público describe claramente las características y beneficios

  • Correo electrónico de notificación de seguridad para la divulgación coordinada de vulnerabilidades

  • El Trust Center detalla las prácticas de seguridad y certificaciones de cumplimiento

  • Página de estado pública que comunica el estado del servicio e incidentes (planificada)

Mitigación de Riesgos

  • La cobertura de ciberseguro protege las operaciones comerciales del impacto financiero de los incidentes de seguridad

Operaciones de IA

  • Monitoreo del sistema de IA de rendimiento y errores, con remediación mediante reentrenamiento, corrección de código o actualizaciones

  • Registro de eventos de IA en las fases clave del ciclo de vida con mantenimiento de registros exhaustivos

Política de Seguridad Física

Protegemos los activos físicos y la infraestructura mediante controles de seguridad adecuados.

  • La seguridad del centro de datos recae en proveedores certificados (Supabase/Vercel con certificaciones ISO 27001, SOC 2 Tipo II)

  • Mitigación de amenazas para ubicaciones físicas (extintores, etc.) como parte de la evaluación de riesgos

  • Medidas de seguridad física implementadas para cualquier activo físico

  • Control de acceso a la oficina mediante sistema de tarjetas o llaves (si aplica)

  • Registro de visitantes en sistema digital para el seguimiento del acceso a la oficina

Política de Gestión de Riesgos

Identificamos, evaluamos y tratamos sistemáticamente los riesgos para nuestra seguridad de la información y sistemas de IA.

Gestión General de Riesgos

  • Las evaluaciones de riesgo anuales o según sea necesario identifican y evalúan las amenazas de seguridad

  • DPIA (Evaluaciones de Impacto de Protección de Datos) para actividades de procesamiento de datos personales de alto riesgo

Gestión de Riesgos de IA

  • Identificación anual de riesgos de IA para el sistema de gestión de IA

  • Evaluación de riesgos del sistema de IA utilizando puntuación de probabilidad e impacto

  • Tratamiento de riesgos aplicando controles, aceptando, transfiriendo o evitando riesgos

  • Evaluaciones de impacto en individuos y sociedades con resultados documentados para revisiones de riesgo

  • Evaluaciones en intervalos planificados o activadas por cambios con resultados documentados

  • Planes de tratamiento de riesgos implementados, verificados y actualizados con documentación

Política de Terceros

Evaluamos y gestionamos los riesgos de seguridad provenientes de proveedores externos y prestadores de servicios.

  • Evaluaciones de proveedores anuales para suministradores externos como OpenAI y ConvertAPI

  • Responsabilidades del ciclo de vida de la IA asignadas entre la organización, socios, proveedores, clientes y terceros

  • Revisión de proveedores para la alineación con la IA antes de utilizar servicios, productos o materiales

  • Integración de las necesidades del cliente en el enfoque de IA responsable

  • Evaluación de riesgos de ciberseguridad en la cadena de suministro, incluyendo dependencias de seguridad y medidas de mitigación

Hemos desarrollado acuerdos de Retención de Datos Cero (ZDR) con proveedores de IA como Mistral para mejorar la protección de datos y aclarar las responsabilidades de terceros.

Política de Gestión de IA

Gobernamos nuestros sistemas de IA a través de un marco de gestión integral alineado con la ISO 42001.

Sistema de Gestión de IA

  • Cuestiones externas e internas relevantes para los sistemas de IA determinadas y documentadas

  • Partes interesadas identificadas junto con sus requisitos

  • Límites y aplicabilidad del sistema de gestión de IA definidos

  • Mejora continua del sistema de gestión de IA

  • Compromiso de la alta dirección demostrado (enfoque de "predicar con el ejemplo" liderado por el CEO)

Marco de Políticas de IA

  • Política de IA documentada que proporciona un marco para objetivos y mejoras

  • Alineación de la política con otras políticas organizativas

  • Revisiones en intervalos planificados de la política de IA

  • Objetivos de IA medibles coherentes con la política, monitoreados y actualizados (por ejemplo, métricas de reducción de alucinaciones)

Cambios en el Sistema de IA

  • Cambios planificados en el sistema de gestión de IA ejecutados sistemáticamente (por ejemplo, añadir nuevos proveedores de IA)

  • Asignación de recursos para el sistema de gestión de IA determinada y proporcionada

  • Marco de comunicación para comunicaciones internas y externas del sistema de IA (incluye el Trust Center)

  • Protección de documentos para la información del sistema de gestión de IA

Gestión de Procesos de IA

  • Procesos basados en requisitos planificados, implementados y controlados

  • Monitoreo del rendimiento y evaluación con retención de evidencias

  • Auditorías internas en intervalos planificados

  • Revisiones de la dirección para la idoneidad del sistema de gestión de IA

  • Acciones correctivas para no conformidades con documentación

Política de Evaluación de Impacto de la IA

Evaluamos las consecuencias potenciales de nuestros sistemas de IA en los individuos y la sociedad.

  • Evaluaciones de impacto anuales de las consecuencias del sistema de IA en individuos y sociedades

  • Resultados documentados conservados para fines de cumplimiento y auditoría

  • Evaluación de impacto individual/grupal considerando la privacidad del usuario y los sesgos potenciales

  • Evaluación de impacto societal alineada con la Ley de IA de la UE y consideraciones éticas más amplias

Política del Ciclo de Vida del Sistema de IA

Gestionamos los sistemas de IA de forma responsable desde el diseño hasta el despliegue y la operación.

Objetivos de Desarrollo

  • Objetivos de IA responsable identificados, documentados e integrados en el desarrollo de RAG

  • Pautas de responsabilidad seguidas en el diseño y desarrollo para reducir las alucinaciones

Diseño y Desarrollo

  • Especificación de requisitos para los sistemas de IA documentada

  • Documentación de diseño basada en objetivos y requisitos

  • Verificación y validación mediante pruebas de regresión antes del despliegue

  • Despliegue basado en requisitos: los sistemas se despliegan solo después de cumplir con los requisitos

  • Documentación técnica proporcionada a las partes pertinentes (equipo y usuarios)

Uso e Información

  • Información del usuario determinada y proporcionada (guías de usuario que explican las limitaciones)

  • Capacidades de notificación de impacto adverso proporcionadas para el feedback de los usuarios

  • Notificaciones por correo electrónico para incidentes de IA para generar confianza

  • Obligaciones de informe a las partes interesadas determinadas y documentadas

  • Pautas de uso responsable seguidas para los sistemas de IA

  • Objetivos de uso para una IA responsable identificados y documentados

  • El monitoreo del propósito previsto garantiza el uso centrado en el cumplimiento

Actualizaciones y Revisiones de Políticas

Estas políticas se revisan y actualizan periódicamente para mantener la alineación con nuestra postura de seguridad en evolución, los requisitos de cumplimiento y las prácticas operativas. Los cambios materiales se comunican a las partes interesadas a través de los canales adecuados.

Nuestras políticas de seguridad reflejan nuestro compromiso de "practicar lo que predicamos" como una plataforma SaaS centrada en el cumplimiento. Implementamos los mismos controles de seguridad robustos que ayudamos a nuestros clientes a alcanzar.

Recursos Relacionados

¿Te fue útil?