Política de Gobernanza de Inteligencia Artificial

Resumen ejecutivo

Gobierno de IA como capacidad de confianza

Yaripo entiende que el uso de inteligencia artificial debe estar gobernado por criterios de responsabilidad, trazabilidad, control de riesgos, seguridad, calidad de datos y supervisión humana proporcional al impacto del caso de uso. Esta política busca ordenar ese marco de actuación para contextos enterprise, comerciales y tecnológicos.

Finalidad práctica. Este documento sirve como marco rector de gobernanza de IA para clientes, partners, due diligence y diseño interno de servicios, sin implicar certificación formal vigente.

Marco de referencia

Inspirado en estándares internacionales

Yaripo puede estructurar su aproximación a gobernanza de IA tomando como referencia marcos como ISO/IEC 42001, NIST AI Risk Management Framework y prácticas emergentes de mercado en materia de seguridad, responsabilidad y calidad de sistemas de IA.

Lectura correcta. La referencia a estos marcos expresa alineamiento metodológico y madurez progresiva, no certificación formal ni conformidad auditada hasta que exista acreditación expresa.

Objetivo

Finalidad de la política

El objetivo de esta política es establecer principios, responsabilidades y controles para asegurar que los sistemas, herramientas y servicios de inteligencia artificial utilizados por Yaripo sean desplegados y operados de manera responsable, segura, jurídicamente prudente y alineada con expectativas enterprise.

Alcance

Sistemas, servicios y casos cubiertos

Esta política aplica, según corresponda, a:

modelos de IA integrados en servicios de consultoría, productos o automatizaciones;
soluciones de analítica avanzada con componentes generativos, predictivos o de clasificación;
laboratorios, demos, pilotos, PoCs y entornos de validación tecnológica;
contenidos, cursos, herramientas o asistentes utilizados en academy;
integraciones con proveedores externos de IA, modelos fundacionales o APIs relacionadas.

Principios rectores de IA responsable

Uso responsable, control y supervisión

Yaripo orienta su uso de IA sobre principios como:

legalidad y uso legítimo;
supervisión humana proporcional al riesgo;
seguridad, resiliencia y control operacional;
calidad y gobernanza de datos;
transparencia razonable respecto del rol de la IA;
mitigación de sesgos y errores materiales cuando resulte aplicable;
protección de información sensible, personal o confidencial.

Principio central. La inteligencia artificial no debe tratarse como sustituto automático del juicio humano en contextos de impacto crítico, regulado o sensible.

Gobernanza y responsabilidad

Responsabilidades y toma de decisiones

La gobernanza de IA implica definir responsables por diseño, implementación, revisión, monitoreo y uso del sistema. En Yaripo, la responsabilidad por decisiones de alto impacto no debe ser delegada ciegamente al modelo, sino mantenida bajo criterio profesional humano y, cuando corresponda, bajo revisión del cliente o usuario autorizado.

Los casos de uso deben evaluarse considerando su finalidad, impacto, criticidad y dependencia del modelo.

Gestión de riesgos de IA

Identificación, evaluación y mitigación

Yaripo puede adoptar una lógica de gestión de riesgos para IA que considere, entre otros:

riesgo de errores materiales, alucinaciones o outputs engañosos;
riesgo de sesgo, discriminación o inferencias impropias;
riesgo de exposición de información sensible o confidencial;
riesgo de uso indebido por parte del usuario o del tercero integrador;
riesgo operacional asociado a automatización excesiva;
riesgo reputacional, contractual o regulatorio.

Enfoque proporcional. A mayor criticidad del caso de uso, mayor debe ser el nivel de revisión, control, validación y documentación aplicable.

Datos, datasets e inputs

Uso de datasets, inputs y protección

El uso de datos en sistemas de IA debe observar criterios de legitimidad, necesidad, calidad, seguridad y propósito. Yaripo puede tratar o interactuar con datasets, prompts, archivos, inputs de clientes, documentación técnica y metadatos asociados al funcionamiento de soluciones de IA.

En consecuencia:

no deben utilizarse datos sin base legítima o sin autorización suficiente;
debe evitarse el uso impropio de datos sensibles o altamente confidenciales en entornos no preparados;
el uso de datasets del cliente para entrenamiento, ajuste fino o mejora de modelos debe quedar expresamente habilitado cuando corresponda;
la calidad de los datos de entrada afecta directamente la confiabilidad del resultado.

Seguridad de modelos y sistemas de IA

Controles técnicos y operativos

La seguridad de IA incluye tanto la seguridad del modelo como la del ecosistema que lo rodea. Yaripo puede aplicar o promover controles como:

control de acceso a modelos, endpoints, prompts o entornos asociados;
protección frente a prompt injection, bypass de instrucciones o manipulación de contexto;
prevención de exposición indebida de datos, secretos o memoria contextual;
segregación de ambientes y revisión de configuraciones;
monitoreo de uso anómalo, abuso o extracción sistemática;
hardening de componentes y dependencias del sistema.

Riesgo emergente. La seguridad de IA no se agota en la ciberseguridad tradicional: también incluye riesgos específicos de interacción con prompts, contexto, datos y outputs.

Usos prohibidos o no autorizados

Límites expresos de utilización

Quedan prohibidos, entre otros, los siguientes usos de sistemas o outputs de IA de Yaripo:

fraude, engaño, manipulación o suplantación;
desinformación deliberada o generación de contenido destinado a dañar terceros;
uso para vigilancia indebida o perfilamiento ilícito;
intentos de extracción masiva, replicación o reverse engineering de lógica, prompts o funcionamiento del sistema;
uso de outputs para entrenar, mejorar o desarrollar sistemas competidores sin autorización expresa;
automatización de decisiones críticas sin validación humana proporcional al riesgo.

Protección del modelo de negocio. Los outputs, estructuras, prompts, metodologías y activos de IA de Yaripo no podrán utilizarse para reproducir, entrenar o habilitar soluciones que compitan directa o indirectamente con Yaripo sin autorización expresa.

Supervisión humana y decisiones críticas

Decisiones críticas y validación

Cuando una solución de IA influya o pueda influir en decisiones relevantes para personas, operaciones, reputación, cumplimiento o negocio, Yaripo recomienda y puede exigir una capa de validación humana adecuada al contexto.

Esto es especialmente relevante en decisiones financieras, legales, regulatorias, laborales, de privacidad, de seguridad o de impacto material sobre terceros.

Monitoreo, revisión y mejora continua

Seguimiento, revisión y mejora

Los sistemas de IA deben ser revisados periódicamente en función de desempeño, riesgo, errores observados, cambios de contexto, feedback de usuarios y evolución técnica del proveedor o del entorno.

La gobernanza de IA en Yaripo se concibe como un proceso continuo, no como una validación única previa al despliegue.

Terceros, modelos externos y dependencias

Modelos externos y proveedores

Cuando Yaripo utilice modelos, APIs, componentes o infraestructuras provistas por terceros, la gobernanza debe considerar limitaciones, riesgos, condiciones de uso, seguridad, privacidad y continuidad asociadas a dicho proveedor.

La utilización de terceros no elimina la necesidad de control, validación y evaluación de riesgos sobre el caso de uso final.

Evolución de la política y madurez futura

Madurez y actualizaciones futuras

Yaripo podrá actualizar esta política para reflejar cambios regulatorios, tecnológicos, contractuales o de negocio, incluyendo evolución de estándares, nuevas exigencias de clientes enterprise, cambios en proveedores de IA o mayor formalización de su sistema de gobernanza.

Madurez progresiva. La gobernanza de IA es una capacidad en evolución. Yaripo puede fortalecer progresivamente su marco documental, su trazabilidad, sus controles y su alineamiento con estándares como ISO/IEC 42001 a medida que su operación, exposición y demanda comercial crezcan.

Documentos relacionados

Declaración de Seguridad Acuerdo de Tratamiento de Datos (DPA) Trust Center