Para responsables de seguridad y equipos de privacidad
Revisa los controles relacionados con la separación, los roles, los secretos cifrados, las claves de IA que conecta el cliente, el alcance de los asistentes públicos y la exportación de datos.
Gobierno
Seguridad, auditoría y gobernanza
Quién puede hacer qué. Qué hicieron. Quién tiene los registros.
La confianza pública descansa en tres preguntas claras, y un sistema de gobierno tiene que responderlas todas en cualquier momento: quién está autorizado a hacer qué, qué se hizo realmente y quién conserva los registros de ello. AgentticAI está construido para que estas no sean preguntas que intentas responder con apuros a posteriori: se responden de forma continua, como parte del funcionamiento mismo de la plataforma. De nada sirve ser útil de cara al público si la institución no puede rendir cuentas por dentro.
Resumen de despliegue
Seguridad, auditoría y gobernanza en términos simples
El control por rol, un registro duradero de las acciones y la propiedad real de los datos conforman una respuesta continua a la exigencia central del público hacia su gobierno: sé útil, sí, pero rinde cuentas y demuéstralo.
Para quién es
CISOs, responsables de privacidad, equipos de auditoría y supervisión, revisores de compras y legales, y las autoridades centrales responsables de todo ello
Qué demuestra
De forma continua, por diseño. Quién puede hacer qué: el acceso se define por rol, desde la autoridad central hasta cada persona, y se aplica en cada acción, no solo se oculta en la interfaz. Qué hicieron: las acciones importantes dejan un registro a medida que ocurren, conservado por años y acotado a su responsable. Quién tiene los registros: la institución, con los medios para generar una copia segura y cifrada de su información —o la de una sola persona— cuando lo necesite.
Primer paso de validación
Guía a la revisión de seguridad por las tres preguntas: quién puede hacer qué, qué hicieron y quién tiene los registros.
A quién atiende
Dirige la conversación hacia las personas que deben aprobar, operar y respaldar el despliegue.
Para compras y legal
Separa los controles ya disponibles de los puntos de la hoja de ruta, la revisión del acuerdo de tratamiento de datos, el trabajo del cuestionario de seguridad y las opciones de despliegue.
Para responsables de la plataforma
Incorpora los registros de auditoría, la revisión de límites, el mantenimiento de fuentes y la preparación para exportar al modelo operativo después del lanzamiento.
Pilares del sector público
La postura de seguridad debe ser visible antes del primer lanzamiento público.
Control por rol
Acceso definido por rol y aplicado en cada acción, desde la autoridad hasta cada persona.
Un registro duradero
Acciones importantes registradas a medida que ocurren y conservadas por años, acotadas a su responsable.
Propiedad real de los datos
Exportaciones seguras y cifradas que pertenecen a la institución, con los datos personales protegidos de forma predeterminada.
Credenciales protegidas
Las claves que dan vida a los asistentes permanecen cifradas, y se revelan solo en el momento en que se necesitan.
Tus propias cuentas de IA
Las dependencias pueden traer sus propios acuerdos con proveedores de IA y conservar el control de sus propias cuentas.
Respuesta directa
¿Cómo responde la plataforma a las tres preguntas que hará un órgano de supervisión?
De forma continua, por diseño. Quién puede hacer qué: el acceso se define por rol, desde la autoridad central hasta cada persona, y se aplica en cada acción, no solo se oculta en la interfaz. Qué hicieron: las acciones importantes dejan un registro a medida que ocurren, conservado por años y acotado a su responsable. Quién tiene los registros: la institución, con los medios para generar una copia segura y cifrada de su información —o la de una sola persona— cuando lo necesite.
El acceso se verifica en cada acción; un permiso ausente se rechaza, incluso por una puerta lateral.
El registro es duradero, acotado por dependencia y se conserva por años.
La institución puede exportar sus datos de forma segura, con los detalles personales protegidos de manera predeterminada.
Comparación
Convierte las afirmaciones de seguridad en evidencia concreta para la revisión.
Acceso oculto en la interfaz
Sin el modelo operativo
Un botón aparece atenuado, pero el límite no se aplica realmente detrás de él.
Con AgentticAI
Cada acción se verifica contra el rol; un permiso ausente se rechaza, incluso por una puerta lateral.
Registros reconstruidos después de los hechos
Sin el modelo operativo
Cuando una revisión pregunta qué pasó, el equipo se apresura a reconstruirlo.
Con AgentticAI
Un registro duradero capturado a medida que ocurren las acciones, conservado por años y listo cuando alguien necesita revisar el pasado.
Propiedad de datos ambigua
Sin el modelo operativo
Sin una forma clara de generar los datos de la institución, o los de una persona, cuando se solicitan.
Con AgentticAI
Exportaciones seguras y cifradas que pertenecen a la institución, con los detalles personales protegidos de manera predeterminada.
Plan de prueba
Tarjeta de evaluación para revisión de compras
Un recorrido de seguridad debe conectar los controles del producto con la evidencia que necesitan los evaluadores del sector público.
Separación
Límites de dependencias y roles explicados
Secretos
Claves de IA del cliente y secretos cifrados revisados
Superficie pública
Clave pública, límites de frecuencia y topes cubiertos
Exportar
Exportación segura de datos y retención de auditoría conversadas
Quién puede hacer qué
El acceso se define por rol, desde la autoridad central hasta cada colaborador, y se aplica donde importa: se verifica en cada acción, no solo se oculta. Las acciones sensibles —publicar un asistente, cambiar lo que puede hacer una dependencia, gestionar credenciales, exportar registros— se reservan a los roles autorizados para realizarlas.
- La autoridad supervisa todo el entorno; los administradores de cada dependencia gestionan el suyo; el personal recibe solo lo que su trabajo requiere.
- Una cuenta que no tiene el permiso se rechaza, incluso si busca por una puerta lateral.
- Cada persona tiene las llaves de su propio trabajo y nada más: la base del privilegio mínimo.
Qué hicieron
Las acciones importantes dejan un registro a medida que ocurren —quién realizó la acción, qué tocó y cuándo, con más detalle en las operaciones más sensibles—. Estos registros se conservan por años de manera predeterminada, con un periodo de retención ajustable a tus propias reglas, y acotados de modo que el historial de un organismo nunca se mezcle con el de otro.
- Las vistas de actividad cotidiana son una ventana clara hacia el mismo rastro duradero.
- La retención es de años de manera predeterminada y se ajusta a las reglas de la institución.
- Cuando una revisión pregunta "qué pasó", la respuesta es un registro, no un recuerdo.
Quién tiene los registros
La institución lo es, y la plataforma le da los medios para cumplirlo. Una dependencia puede generar una copia completa, segura y cifrada de su información, o solo la de una persona, para atender una solicitud o cumplir una obligación. Esas exportaciones llevan su propia evidencia de cómo se hicieron, los detalles personales se protegen de manera predeterminada y el acto de exportar queda registrado.
- Exportaciones de cuenta completa o de una sola persona, de principio a fin.
- Detalles personales protegidos de manera predeterminada: un valor por defecto, no una mejora de pago.
- Credenciales sensibles cifradas, y los datos de cada dependencia dentro de sus propios límites.
Modelo operativo
Convierte la gobernanza en un hábito operativo diario, no en un documento de compras.
Quién puede hacer qué
Privilegio mínimo, aplicado en cada acción.
Rol desde la autoridad central hasta cada persona.Acciones sensibles reservadas a los roles autorizados.Un permiso ausente se rechaza, no se oculta.
Qué hicieron
Un registro duradero, disponible cuando se solicita.
Acciones importantes registradas a medida que ocurren.Conservadas por años; retención ajustable a tus reglas.Acotadas de modo que el historial de un organismo nunca se mezcla con el de otro.
Quién tiene los registros
Propiedad real de los datos.
Exportaciones seguras y cifradas que pertenecen a la institución.Detalles personales protegidos de manera predeterminada.Credenciales cifradas; los datos de cada dependencia dentro de sus límites.
Paquete de licitación
Entrega a los revisores un paquete concreto en lugar de un discurso genérico sobre seguridad de IA.
Los revisores del sector público necesitan saber qué controles están implementados, qué responsabilidades corresponden a tu propio equipo y qué elementos de certificación o despliegue deben gestionarse durante la revisión comercial.
Resumen de seguridad
Revisa cómo se mantienen separados los datos de cada cliente, quién puede ver qué, los secretos cifrados, el registro de cada cambio, cómo funcionan las exportaciones de datos y qué responsabilidades corresponden a tu propio equipo.
Ruta del acuerdo de tratamiento de datos y del cuestionario
Aprovecha la conversación sobre el acuerdo de tratamiento de datos y el cuestionario de seguridad para documentar el manejo de datos, los subencargados, las expectativas de retención, las certificaciones de la hoja de ruta y los requisitos de despliegue.
Exportación segura de datos
Explica los paquetes de exportación cifrados, los modos de ocultamiento de datos personales, la retención de archivos, la retención de auditoría y el manejo solo de metadatos para integraciones sensibles y claves de proveedores.
Opciones de despliegue
Conversa sobre despliegues gestionados, por región o autoalojados cuando el área de compras necesita control de la infraestructura, residencia de datos, endurecimiento, respaldos o titularidad de la rotación de claves.
Guía de lanzamiento
Cómo los equipos llegan al valor
01
Guía a la revisión de seguridad por las tres preguntas: quién puede hacer qué, qué hicieron y quién tiene los registros.
02
Confirma cómo se aplican los roles y cómo se reservan las acciones sensibles.
03
Revisa el registro: qué se captura, cuánto tiempo se conserva y cómo se acota.
04
Confirma la ruta de exportación para una solicitud y cómo se protegen los detalles personales de manera predeterminada.
Qué cambia
Qué puedes medir
Acceso demostrable
Quién puede hacer qué se responde con la aplicación de reglas, no con un botón atenuado.
Historial demostrable
"Qué pasó aquí" se responde con un registro, no con un recuerdo.
Propiedad demostrable
La institución puede generar sus propios datos de forma segura, con la privacidad respetada de manera predeterminada.
Preguntas frecuentes
Preguntas que hacen los equipos
¿AgentticAI entrena con las conversaciones del gobierno?
No. Tus datos no se usan para entrenar modelos. La conversación se envía al proveedor de IA configurado, y cuando una dependencia trae su propia cuenta de IA, esa cuenta rige la configuración del lado del proveedor.
¿El acceso realmente se aplica, o solo se oculta en la interfaz?
Se aplica. El acceso se verifica en cada acción, y una cuenta sin el permiso se rechaza incluso si busca por una puerta lateral, no solo se mantiene fuera de la pantalla.
¿Puede una dependencia obtener una copia de sus propios datos?
Sí. Una dependencia puede generar una copia completa, segura y cifrada de su información —o la de una sola persona— para atender una solicitud, con los datos personales protegidos de forma predeterminada y la propia exportación quedando registrada.
¿Los equipos de gobierno pueden ejecutar esto en su propia infraestructura?
Sí: existen despliegues autoalojados y específicos por región, en los que la institución asume la responsabilidad de su propia infraestructura. Hablemos de los detalles durante la evaluación.
Soluciones relacionadas
Explora caminos de solución cercanos
Listos cuando tú lo estés
Sé útil y, además, demuestra que lo hiciste bien.
Solicita un recorrido de gobernanza centrado en las tres preguntas: quién puede hacer qué, qué hicieron y quién tiene los registros.