Gobernanza de IA
que pasa una auditoría.
La conversación sobre IA empresarial ya no es solo "qué puede hacer". También es "dónde están los datos, quién accede, qué se loguea, qué se borra y qué pasa si algo sale mal". Este es nuestro marco — el mismo que aplicamos a cada plataforma con IA que construimos.
Nuestro marco de gobernanza IA
Adaptado del NIST AI Risk Management Framework y de la Ley 1581 de 2012 de Colombia. Aplicable a cualquier agente, plataforma o automatización con IA que entreguemos.
Datos
Residencia local, minimización, ciclo de vida claro. Sus datos sensibles no salen del país a menos que usted explícitamente lo apruebe.
Acceso
Roles, permisos por capa, segregación de funciones, multi-factor, llaves rotadas. Quién accede a qué queda registrado.
Observabilidad
Cada llamada al modelo IA queda en bitácora con prompt, respuesta, costo, latencia, usuario y resultado. Trazable y exportable.
Responsabilidad
Procedimientos claros para incidentes, sesgos detectados, alucinaciones del modelo y solicitudes de habeas data.
Sabemos exactamente dónde está cada dato
Esto es lo que pasa con su información cuando trabaja con un agente IA que nosotros construimos.
| Datos del cliente final | Almacenados en base de datos en su entorno cloud o on-premise. Nunca en servidores de terceros sin su consentimiento expreso. |
| Conversaciones con el agente | Historial y resúmenes residentes en su región (Colombia / LatAm a elegir). Encriptación en reposo AES-256 y en tránsito TLS 1.3. |
| Llamadas al modelo IA | Procesadas por Anthropic / OpenAI / Azure OpenAI / AWS Bedrock según su elección. Por contrato no se usan para reentrenar modelos públicos. |
| Documentación interna (RAG) | Vectorizada y almacenada en su propio cloud o en infraestructura dedicada. Nunca compartida entre clientes. |
| Bitácoras de auditoría | Mínimo 12 meses, exportables en cualquier momento, retención extendida bajo SLA. |
| Datos personales sensibles | Detección automática con redacción antes de enviar al LLM. Configuración por tipo de dato (cédula, salud, financiero). |
| Solicitudes de habeas data | Procedimiento documentado. Eliminación efectiva en máximo 15 días hábiles conforme a Decreto 1377. |
Cada decisión del agente queda en bitácora
Si una autoridad o auditor le pregunta "¿por qué su agente respondió X al ciudadano Y el 14 de marzo a las 3pm?", usted tiene la respuesta en menos de un minuto.
| Marca de tiempo | ISO 8601 con zona horaria |
| Identificador único | UUID por interacción, rastreable end-to-end |
| Usuario / canal origen | Identidad anonimizada o completa según política |
| Prompt enviado al modelo | Texto completo con redacción de datos sensibles |
| Modelo utilizado | Nombre, versión, parámetros (temperature, max_tokens) |
| Respuesta generada | Texto completo entregado al usuario |
| Tokens consumidos | Entrada, salida, costo en USD y COP |
| Latencia | Tiempo en milisegundos por etapa del workflow |
| Decisión / acción tomada | Si escaló a humano, ejecutó acción, abrió ticket, etc. |
| Confidence score (si aplica) | Nivel de certeza reportado por el modelo |
Lo que recibe su área legal o de auditoría
- 01 Política de tratamiento de datos personales — adaptada al caso de uso del agente, lista para publicar en su sitio.
- 02 Mapa de flujo de datos — diagrama técnico de dónde viaja la información en cada interacción.
- 03 Análisis de riesgos NIST AI RMF — evaluación documentada de riesgos por categoría con plan de mitigación.
- 04 Acuerdo de tratamiento — contrato anexo donde quedamos como encargados del tratamiento según Ley 1581.
- 05 Procedimiento de respuesta a incidentes — quién hace qué, en qué plazos y a quién notifica.
- 06 Acceso al log de auditoría — credenciales de solo lectura para que su equipo de auditoría consulte cuando necesite.
- 07 Reporte trimestral de cumplimiento — informe ejecutivo con métricas, incidentes y mejoras del trimestre.
¿Su organización tiene requisitos regulatorios o de auditoría?
Le mostramos el marco aplicado a un caso real y respondemos las preguntas que su área legal o de cumplimiento tiene antes de aprobar un proyecto con IA.
Agendar revisión con su equipo legal →