Volver a plantillas de políticas
Política 10 de 15

Politica de riesgo de proveedores de IA

Amplia la gestion de riesgos de terceros con diligencia debida especifica para IA, monitoreo continuo y requisitos contractuales.

1. Proposito

Esta politica define como [Nombre de la organizacion] evalua, gestiona y monitorea los riesgos de proveedores, API y servicios de IA de terceros. El riesgo de proveedores de IA difiere del riesgo tradicional de proveedores porque los modelos se comportan de forma impredecible, los datos de entrenamiento crean exposicion oculta de cumplimiento y los cambios del lado del proveedor pueden alterar el comportamiento del sistema sin aviso.

2. Alcance

Esta politica se aplica a:

  • Todos los servicios de IA de terceros (API, SaaS, modelos alojados, funciones de IA integradas).
  • Todos los modelos preentrenados o base adquiridos de proveedores externos.
  • Todas las contrataciones de consultoria de IA que entreguen modelos o alojamiento de modelos.
  • Todos los modelos de codigo abierto adoptados para uso en produccion.
  • Todas las renovaciones y cambios significativos en las relaciones existentes con proveedores de IA.

3. Evaluacion previa al compromiso

Antes de activar cualquier proveedor de IA, debe completarse la siguiente evaluacion:

3.1 Cuestionario de riesgo especifico de IA

Ademas del cuestionario estandar de riesgo de proveedores, los proveedores de IA deben responder:

  • Gobernanza del modelo: ¿Que arquitectura de modelo se utiliza? ¿Como se versionan los modelos? ¿Que proceso de gestion de cambios aplica a las actualizaciones del modelo?
  • Datos de entrenamiento: ¿Que fuentes de datos se utilizaron para el entrenamiento? ¿Los datos de entrenamiento incluyen informacion personal? ¿Se respeta la exclusion voluntaria? ¿Estan disponibles las fichas de modelos y las fichas de datos?
  • Sesgo y equidad: ¿Que pruebas de sesgo se han realizado? ¿Que metricas se utilizaron? ¿Que grupos demograficos se evaluaron? ¿Que correccion se aplico?
  • Seguridad: ¿Que protecciones existen contra la inyeccion de prompts, la exfiltracion de datos y el robo de modelos? ¿Que pruebas de penetracion se han realizado?
  • Manejo de datos: ¿Se utilizan los datos del cliente para entrenar o mejorar los modelos del proveedor? ¿Que garantias de residencia de datos se proporcionan? ¿Quienes son los subencargados?
  • Transparencia: ¿Puede el proveedor explicar como produce resultados el modelo? ¿Estan disponibles las puntuaciones de confianza o indicadores de incertidumbre?
  • Respuesta a incidentes: ¿Cual es el SLA de notificacion de incidentes de IA del proveedor? ¿Como se comunican los fallos del modelo?

3.2 Requisitos de documentacion

Los proveedores deben proporcionar:

  • Ficha del modelo que describa la arquitectura, los datos de entrenamiento, el uso previsto y las limitaciones.
  • Certificaciones de seguridad (SOC 2 Tipo II, ISO 27001 o equivalente).
  • Acuerdo de tratamiento de datos (DPA) que cubra el manejo de datos especifico de IA.
  • Lista de subencargados con informacion de residencia de datos.
  • SLA de notificacion de incidentes y proceso de escalamiento.

3.3 Puntuacion de riesgo

Cada proveedor de IA se puntua utilizando la matriz de riesgos de la organizacion (conforme a la Politica de gestion de riesgos de IA). Los factores incluyen:

  • Sensibilidad de los datos procesados por el proveedor.
  • Criticidad del proceso comercial que el proveedor soporta.
  • Grado de autonomia (asesoramiento vs. toma de decisiones).
  • Capacidades de transparencia y control del proveedor.
  • Exposicion regulatoria (¿el caso de uso se clasifica como de alto riesgo conforme al Reglamento Europeo de IA?).

4. Requisitos contractuales

Los contratos con proveedores de IA deben incluir las siguientes clausulas:

  • Sin entrenamiento con datos del cliente: El proveedor no debe utilizar los datos de la organizacion para entrenar, ajustar o mejorar sus modelos a menos que se autorice explicitamente.
  • Notificacion de cambios: El proveedor debe notificar a la organizacion antes de cambios significativos en el modelo (actualizacion de version, cambio de arquitectura, cambio de datos de entrenamiento) con al menos 30 dias de antelacion.
  • Portabilidad de datos: La organizacion debe poder exportar o eliminar sus datos sin carga indebida.
  • Derecho de auditoria: La organizacion o su auditor designado pueden auditar las practicas de gobernanza de IA del proveedor.
  • Notificacion de incidentes: El proveedor debe notificar a la organizacion de incidentes relacionados con IA dentro de las 24 horas.
  • Asignacion de responsabilidad: Asignacion clara de responsabilidad por fallos del sistema de IA, sesgos e incumplimiento regulatorio.
  • Derechos de terminacion: La organizacion puede terminar si el proveedor introduce un riesgo inaceptable o no corrige los hallazgos.

5. Monitoreo continuo

Los proveedores de IA aprobados se monitorean continuamente. La reevaluacion se desencadena por:

El monitoreo incluye: seguimiento del rendimiento segun los SLA acordados, pruebas de sesgo en los propios datos de la organizacion, verificacion de la postura de seguridad y estado de cumplimiento regulatorio.

  • Cambio significativo de version del modelo por parte del proveedor.
  • Cambio en la lista de subencargados del proveedor.
  • Incidente de seguridad del proveedor o accion regulatoria.
  • Cambio en el uso que la organizacion hace del proveedor (alcance ampliado, nuevos tipos de datos).
  • Ciclo de revision anual (minimo).

6. Planificacion de salida del proveedor

Para cada proveedor de IA, debe existir un plan de salida documentado que incluya:

  • Procedimiento y plazo de exportacion de datos.
  • Proveedor alternativo o capacidad interna identificada.
  • Periodo de transicion y plan de migracion.
  • Obligaciones contractuales que sobrevivan a la terminacion (eliminacion de datos, confidencialidad).

7. Roles y responsabilidades

RolResponsabilidades de riesgo de proveedores
Equipo solicitantePresenta la solicitud de proveedor con justificacion comercial y clasificacion de riesgo.
SeguridadRealiza la evaluacion de seguridad del proveedor, revisa certificaciones y resultados de pruebas de penetracion.
JuridicoRevisa contratos, DPA y asignacion de responsabilidad. Asesora sobre obligaciones regulatorias.
Responsable de gobernanza de IACoordina la evaluacion especifica de IA, da seguimiento a las puntuaciones de riesgo de proveedores, gestiona el calendario de reevaluacion.
Comite de gobernanza de IAAprueba los compromisos con proveedores de alto riesgo, revisa las decisiones de salida de proveedores.

8. Alineacion regulatoria

  • Reglamento Europeo de IA: Articulo 25 (responsabilidades a lo largo de la cadena de valor de IA), Articulo 16 (obligaciones del proveedor).
  • RGPD: Articulos 28-29 (obligaciones del encargado del tratamiento, requisitos de DPA).
  • ISO/IEC 42001: Clausula 8.5 (relaciones con terceros y clientes).
  • NIST AI RMF: Funcion GOVERN (GV-6: politicas para IA de terceros).

9. Revision

Esta politica se revisa anualmente o cuando se desencadene por incidentes significativos de proveedores, nuevos requisitos regulatorios o cambios en la cartera de proveedores de IA de la organizacion.

Control documental

CampoValor
Titular de la politica[Responsable de gobernanza de IA / CISO]
Aprobado por[Comite de gobernanza de IA]
Fecha de vigencia[Fecha]
Proxima fecha de revision[Fecha + 12 meses]
Version1.0
ClasificacionInterna

¿Listo para implementar esta política?

Use VerifyWise para personalizar esta plantilla de política, desplegarla y hacer seguimiento del cumplimiento.

Comenzar gratisExplorar todas las plantillas
Politica de riesgo de proveedores de IA | Plantillas de gobernanza de IA de VerifyWise