Gobernanza de IA

IA que sobrevive a la revisión de cumplimiento

Cada sistema de IA que entregamos llega con la documentación y la ingeniería por las que preguntan legal, seguridad y los representantes de los trabajadores: qué modelo corre dónde, quién lo verificó, qué pasa cuando se equivoca y cómo se sale. Esta página describe cómo gobernamos la IA en los sistemas de nuestros clientes, con la misma profundidad con la que los construimos.

Cómo gobernamos la IA en los sistemas de cliente

Cada sistema de IA que entregamos llega con la documentación del Reglamento de IA de la UE y la ingeniería que la respalda. Clasificamos cada caso de uso durante el alcance, mantenemos a una persona en el circuito donde las decisiones importan, registramos cada decisión automatizada para que pueda revisarse y no entrenamos ningún modelo público con sus datos. El alojamiento permanece en la región que usted exija, solo en la UE cuando lo pida, y usted es propietario del código y de los datos desde el primer commit. El resultado es un sistema que el área jurídica, seguridad, el comité de empresa y compras pueden aprobar, gobernado con la misma profundidad con la que lo construimos.

  • Clasificación de casos de uso según el Reglamento de IA de la UE y la documentación técnica de apoyo
  • La persona mantiene el control: cada decisión automatizada se puede anular y queda registrada
  • Sus datos no entrenan ningún modelo público ni compartido, alojamiento solo en la UE bajo petición
  • Usted es propietario del código y de los datos desde el primer día, con una salida documentada

Cuatro compromisos

Las personas mantienen el control

Cada ruta de decisión automatizada tiene un punto de supervisión humana definido. Los agentes actúan dentro de límites explícitos y ceden el control cuando baja la confianza o sube lo que está en juego.

Sus datos no entrenan nada

Configuramos a los proveedores con acuerdos de no entrenamiento y lo documentamos. Los datos de cliente no se usan para entrenar modelos fundacionales, por contrato y por configuración.

Evidencia antes que afirmaciones

La calidad se mide con conjuntos de evaluación y criterios de aceptación acordados antes de salir a producción, no con demos. Lo que no podemos medir, lo decimos.

La salida es parte del diseño

Las elecciones de modelo y proveedor están documentadas y son sustituibles. Usted recibe los prompts, los datos de evaluación y los runbooks. Dejarnos debe ser posible sin perder el sistema.

Cómo fluye una solicitud de IA gobernada

Cada solicitud recorre la misma ruta auditada: fuentes aprobadas, recuperación que respeta los permisos, un paso de modelo acotado, aprobación humana y un registro de auditoría.

Approved sources
Permission-aware retrieval
Model / agent (bounded tools)
Human approval
Audit log
Barreras de protección y retroalimentación en cada paso

Las salvaguardas y la retroalimentación envuelven cada paso. Las acciones de consecuencia esperan la aprobación humana antes de que se confirme cualquier cosa.

Nuestra posición sobre el Reglamento de IA de la UE

Según nuestra evaluación hasta ahora, los sistemas que construimos típicamente (automatización interna, retrieval, asistentes con divulgación) caen en las categorías de riesgo mínimo o limitado del Reglamento de IA de la UE; clasificamos cada caso de uso individualmente durante el alcance. Cuando un caso de uso toca una categoría de alto riesgo, lo decimos en la fase de propuesta y diseñamos los controles exigidos: gestión de riesgos, registro, supervisión humana, documentación técnica. Como socio de desarrollo le apoyamos en sus obligaciones como responsable del despliegue y documentamos todo lo que necesita para su propia evaluación. No vendemos certificación; entregamos la base técnica que hace posible su trabajo de cumplimiento.

Quién aprueba, y qué obtiene cada uno

Un sistema de IA pasa por varios revisores antes de entrar en producción. Damos a cada uno las pruebas que su función exige.

Jurídico y protección de datos (DPD)

Tiene que confirmar la posición respecto al RGPD y al Reglamento de IA de la UE antes de que el sistema procese datos reales.

Clasificación de riesgos por caso de uso, un registro de actividades de tratamiento, un contrato de encargo y medidas técnicas y organizativas bajo petición, y alojamiento solo en la UE donde lo necesite.

Revisar la confianza y el tratamiento de datos

Seguridad e informática

Necesita saber qué modelo y qué proveedor gestionan cada petición y dónde residen físicamente los datos.

Un registro de modelos y proveedores, alojamiento en la UE sobre Render en Frankfurt, una lista nombrada de subencargados y registros para cada decisión automatizada.

Ver la postura de seguridad

Comité de empresa

Necesita confirmar que el sistema no decide sobre las personas empleadas sin un humano y se mantiene transparente.

Supervisión humana en las decisiones que afectan a personas, registro completo que puede inspeccionar y ninguna acción automatizada en producción sin una persona en el circuito donde importa.

Leer cómo gobernamos la IA

Compras

Tiene que homologar a un nuevo proveedor y confirmar precio, propiedad y salida antes de mover presupuesto.

Una GmbH alemana con un Impressum completo, contratos a precio fijo desde 25k EUR, el código en sus propios repositorios y un traspaso documentado.

Ver las condiciones de colaboración

Ingeniería pública que puede inspeccionar

En producción en este sitio

En vivo

El asistente de este sitio es un sistema agéntico que usa herramientas, construido por nosotros y en producción, no una demo tras un inicio de sesión.

Vendure Data Hub

Open source

Un plugin de comercio Vendure que construimos y publicamos, público en GitHub. Dos de nuestros once bundles desarrollados son públicos.

Ver en GitHub

Pimcore Asset Pilot

Open source

Un bundle de assets de Pimcore que construimos y publicamos, público en GitHub e inspeccionable de extremo a extremo.

Ver en GitHub

El registro de modelos y proveedores

Cada proyecto mantiene un registro vivo, entregado como parte de la documentación:

Modelo y versión

Qué modelo corre, con versiones fijadas y registro de cambios en cada actualización.

Proveedor y región

Dónde ocurre la inferencia, bajo qué contrato, en qué jurisdicción.

Propósito en el sistema

Qué puede hacer el modelo en el sistema y qué no.

Clases de datos

Qué categorías de datos llegan al modelo, alineadas con su documentación de privacidad.

Estado de no entrenamiento

El ajuste contractual y técnico que mantiene sus datos fuera del entrenamiento.

Comportamiento de respaldo

Qué hace el sistema cuando el modelo falla, agota el tiempo o devuelve basura.

Lo que hacemos con sus datos, y lo que nunca hacemos

La gobernanza inspira más confianza cuando es concreta. Esta es la línea que mantenemos con sus datos.

Lo que hacemos

  • Mantener sus datos en la región que usted exija, incluido el alojamiento exclusivo en la EU
  • Entregar a un modelo solo el contexto que una tarea necesita, nada más
  • Registrar cada decisión automatizada para que pueda revisarse y explicarse
  • Permitir que una persona anule o detenga cualquier acción automatizada
  • Eliminar los datos según el calendario acordado y demostrar que ocurrió

Lo que nunca hacemos

  • Entrenar modelos públicos o compartidos con sus datos
  • Enviar datos personales a un tercero sin su consentimiento
  • Llevar una decisión de AI a producción sin control humano donde importa
  • Ocultar qué modelo o qué proveedor procesó una solicitud
  • Dejarle sin salida: el sistema y sus datos siguen siendo suyos

Gobernanza en todo el ciclo de vida

01

Alcance y clasificación de riesgo

Antes de construir: qué decide el sistema, a quién afecta, cómo es el peor fallo creíble y qué categoría del Reglamento de IA de la UE aplica.

02

Mapeo de datos

Qué datos llegan a qué modelo bajo qué contrato. Alineado con su DPO y su documentación de privacidad antes de que fluya el primer token.

03

Evaluación y aceptación

Un conjunto de evaluación y criterios de aceptación acordados con usted. El sistema sale cuando los pasa, y las cifras van a la documentación de entrega.

04

Diseño de la supervisión humana

Colas de revisión definidas, umbrales de confianza y rutas de escalado. Quien supervisa el sistema recibe herramientas, no solo responsabilidad.

05

Versionado y control de cambios

Las actualizaciones de modelo son cambios, no sorpresas: probadas contra el conjunto de evaluación, anotadas en el registro, reversibles.

06

Gestión de incidentes

Severidades definidas, un interruptor de apagado o ruta de degradación y un post-mortem honesto. Los incidentes de IA se tratan como incidentes de producción, porque lo son.

Cuatro compromisos

  • Las personas mantienen el control
  • Sus datos no entrenan nada
  • Evidencia antes que afirmaciones
  • La salida es parte del diseño
Hablar con un ingeniero

Estándares y prácticas que seguimos

No inventamos la gobernanza desde cero. Nos alineamos con los marcos que sus auditores ya conocen.

GDPR

La minimización de datos, la limitación de la finalidad y el derecho de supresión se diseñan dentro del sistema en lugar de añadirse después. El tratamiento se mantiene documentado y lícito.

EU AI Act

Clasificamos cada uso de AI por riesgo y aplicamos la transparencia, la supervisión y la documentación que ese nivel exige, de modo que usted esté listo a medida que las reglas entren en vigor.

OWASP LLM Top 10

La inyección de prompts, la fuga de datos y el manejo inseguro de salidas son amenazas contra las que diseñamos, con el mismo rigor que cualquier otro trabajo de seguridad de aplicaciones.

Residencia de datos

Alojamiento en la región EU y, donde lo necesite, despliegue local o en nube privada, para que sus datos permanezcan donde su política lo exige.

Preguntas que hacen los equipos legales y de seguridad

¿Pueden ejecutar los modelos solo en la UE?

Sí. Elegimos por defecto regiones de la UE cuando el proveedor las ofrece y documentamos la región por modelo en el registro. Cuando una capacidad solo existe fuera de la UE, lo señalamos y usted decide.

¿Qué pasa con nuestros prompts y salidas?

Se procesan para operar el sistema y se registran para operación y auditoría, según sus reglas de retención. Bajo los términos de proveedor que contratamos y las configuraciones que documentamos en el registro, no se usan para entrenar modelos fundacionales. El registro está documentado para que su DPO pueda verificarlo.

¿Quién responde cuando la IA se equivoca?

El sistema está diseñado para que las decisiones con consecuencias pasen por un punto de supervisión humana. El contrato define las responsabilidades con precisión; la arquitectura hace auditable la respuesta y el registro de decisiones muestra qué ocurrió.

¿Podemos auditar el sistema?

Sí. La documentación incluye el registro, los resultados de evaluación, los flujos de datos y los runbooks. Apoyamos las auditorías en vez de temerlas; el sistema está construido para ser explicado.

¿Y si un proveedor cambia sus condiciones o cierra?

Las elecciones de proveedor están documentadas y la capa de integración mantiene los modelos sustituibles. El comportamiento de respaldo es parte del diseño, y el registro nombra las alternativas que validamos.

Explore el stack de IA

IA en producción
IA empresarial
Sistemas RAG
Frameworks agénticos

Niveles de compromiso

Oronts trabaja con equipos serios que necesitan entrega senior, no externalización de bajo coste.

Production Pilot
desde 25k EUR
Proyectos de software e IA a medida
desde 50k EUR
Retainers técnicos continuos
desde 15k EUR/mes

El precio exacto depende del alcance, la responsabilidad, la velocidad de entrega, el tamaño del equipo, las integraciones, las expectativas de soporte y el riesgo de producción.

Definir el piloto de 90 días

Con quién trabaja

HRB 288224
Registrada en Múnich
15+
Años, dirigida por el fundador
DE · EN · AR
Idiomas de trabajo
2
Código abierto en GitHub
EU
Residencia de datos, Fráncfort
AVV/DPA
Listo para firmar, art. 28

Traiga sus preguntas de gobernanza

La prueba más rápida: traiga las preguntas que su equipo legal o de seguridad ya hizo. Las respondemos en concreto, sobre su caso.