Seg煤n la EU AI Act, los proveedores de IA de alto riesgo tienen numerosos requisitos de documentaci贸n. Al usar un sistema de gesti贸n de documentos SaaS de terceros para almacenar estos documentos, surgen varias preocupaciones de privacidad y seguridad.
Como desarrolladores de la plataforma de gobernanza de IA de c贸digo abierto VerifyWise, y a trav茅s de nuestro trabajo con plataformas locales en la empresa, conocemos bien estos riesgos.
En esta publicaci贸n discutiremos c贸mo compartir esta informaci贸n con un sistema de terceros podr铆a exponer propiedad intelectual sensible y secretos comerciales.
Divulgaci贸n de documentaci贸n t茅cnica sensible
Seg煤n la EU AI Act, los proveedores de IA de alto riesgo deben crear y mantener documentaci贸n t茅cnica detallada. Esto incluye:
- Arquitectura del sistema y especificaciones de dise帽o
- Requisitos de datos y procedimientos de gobernanza
- Metodolog铆as y t茅cnicas de desarrollo
- M茅tricas de rendimiento y resultados de pruebas
La mayor铆a de las empresas de IA de alto riesgo con requisitos estrictos de privacidad no divulgan p煤blicamente dicha informaci贸n. Las instituciones financieras, compa帽铆as de seguros, proveedores de salud y empresas de telecomunicaciones t铆picamente usan plataformas autoalojadas e instaladas localmente para almacenar datos relevantes.
Divulgaci贸n del registro de riesgos
Seg煤n la EU AI Act, los proveedores deben establecer un sistema de gesti贸n de riesgos, documentando:
- Identificaci贸n y an谩lisis de riesgos
- Estimaci贸n y evaluaci贸n de riesgos
- Medidas de control de riesgos
Esta documentaci贸n tambi茅n puede contener informaci贸n sensible sobre las vulnerabilidades del sistema de la empresa y las estrategias de mitigaci贸n.
Documentaci贸n sobre datos de entrenamiento
Seg煤n la EU AI Act, se deben mantener registros detallados de los conjuntos de datos de entrenamiento, validaci贸n y prueba, incluyendo:
- Fuentes y caracter铆sticas de los datos
- T茅cnicas de preprocesamiento
- Procedimientos de etiquetado
Subir documentos con esta informaci贸n podr铆a arriesgar la exposici贸n de conjuntos de datos propietarios o m茅todos de manejo de datos a plataformas SaaS de terceros.
Capacidades de registro
Los sistemas de IA de alto riesgo deben tener capacidades de registro para registrar eventos y decisiones. La documentaci贸n de estas capacidades puede incluir:
- Tipos de datos registrados
- Pol铆ticas de almacenamiento y retenci贸n
- Medidas de control de acceso
Esta informaci贸n podr铆a revelar operaciones del sistema y pr谩cticas de manejo de datos, lo que plantea riesgos al compartir documentos con un proveedor de gobernanza de IA de terceros. El riesgo se multiplica cuando los empleados adoptan herramientas de IA sin aprobaci贸n de TI, un problema que la detecci贸n de shadow AI est谩 dise帽ada para abordar al revelar el uso no autorizado desde sus registros de red existentes.
Para todas las 谩reas anteriores, subir documentaci贸n detallada a una plataforma SaaS de gobernanza de IA de terceros podr铆a potencialmente exponer informaci贸n operativa sensible. Esto puede comprometer la ventaja competitiva del proveedor de IA.
Adem谩s, si esta informaci贸n cae en las manos equivocadas, podr铆a ser explotada para atacar debilidades en el sistema de IA o las capacidades de respuesta ante incidentes de la organizaci贸n.
Para mitigar estos riesgos, los proveedores de IA de alto riesgo deben evaluar cuidadosamente las medidas de seguridad del proveedor SaaS, implementar controles de acceso fuertes y considerar cifrar las porciones particularmente sensibles de la documentaci贸n.
Tambi茅n pueden querer explorar soluciones h铆bridas que mantengan la informaci贸n m谩s cr铆tica en las instalaciones locales mientras usan la plataforma SaaS para documentaci贸n menos sensible.
VerifyWise: democratizando la gobernanza de la IA
La plataforma de gobernanza de IA de c贸digo abierto de VerifyWise puede instalarse en las instalaciones locales y ofrece varias ventajas en t茅rminos de privacidad y seguridad para los proveedores de IA de alto riesgo:
-
Control de datos: Tiene la propiedad y el control total sobre la documentaci贸n y los datos sensibles. No hay necesidad de subir informaci贸n cr铆tica a sistemas de terceros, lo que reduce el riesgo de acceso no autorizado o violaciones de datos.
-
Personalizaci贸n e integraci贸n: Como tiene el c贸digo fuente completo, puede adaptar la plataforma a las necesidades organizacionales espec铆ficas y requisitos de seguridad, e integrarla con la infraestructura de seguridad local existente.
-
Reducci贸n de la exposici贸n de secretos comerciales: Los detalles sensibles de su sistema de IA y algoritmos permanecen dentro de la organizaci贸n, reduciendo el riesgo de fuga de propiedad intelectual.
Al ofrecer una plataforma de gobernanza de IA de c贸digo abierto e instalable localmente, VerifyWise proporciona a los proveedores de IA de alto riesgo una soluci贸n que aborda muchas de las preocupaciones de privacidad y seguridad asociadas con el uso de sistemas SaaS de terceros. Este enfoque permite a las organizaciones mantener un control m谩s estricto sobre sus datos e infraestructura mientras se benefician de un marco estructurado de gobernanza de IA.
Cont谩ctenos ahora para ver una demostraci贸n de VerifyWise.