Cumplimiento

ShieldAgent se mapea con los tres principales marcos de gobernanza de IA: Ley de IA de la UE, ISO 42001 y NIST AI RMF. La evidencia se recopila automáticamente del registro de auditoría en tiempo real.

Ley de IA de la UE

Fecha límite: 2 ago. 2026

La Ley de IA de la UE impone requisitos de documentación, gestión de riesgos y supervisión humana a los sistemas de IA de alto riesgo. ShieldAgent genera documentación técnica del Anexo IV a partir de tus datos proxy en tiempo real. Para despliegues en Posición E (Verdict API), la documentación del Anexo IV incluye el mecanismo de aplicación del cliente y las tasas de aplicación del veredicto — la prueba de aplicación requiere llamar a confirmExecution() en el código de tu aplicación.

Cobertura

✓Anexo IV §1Descripción general del sistema

✓Anexo IV §2Proceso de diseño y desarrollo

✓Anexo IV §3Monitoreo y supervisión humana

✓Anexo IV §4Sistema de gestión de riesgos

✓Anexo IV §5Gobernanza de datos y registro de auditoría

✓Anexo IV §6Solidez técnica y seguridad

✓Anexo IV §7Precisión y métricas de rendimiento

✓Anexo IV §8Medidas de ciberseguridad

Ejemplo Ley de IA de la UE →

ISO 42001

Norma Internacional

ISO/IEC 42001:2023 es el primer estándar internacional de sistemas de gestión de IA. Requiere que las organizaciones establezcan controles, políticas y mecanismos de auditoría para el uso responsable de la IA.

Cobertura

✓Cláusula 4Contexto de la organización

✓Cláusula 5Liderazgo y política de IA

✓Cláusula 6Planificación y evaluación de riesgos

○Cláusula 7Apoyo y competencia

✓Cláusula 8Operaciones y controles del sistema de IA

✓Cláusula 9Evaluación del rendimiento y auditoría

✓Cláusula 10Mejora y gestión de incidentes

Ejemplo de puntuación de riesgo →

NIST AI RMF

Estándar EE.UU.

El Marco de Gestión de Riesgos de IA del NIST proporciona una estructura voluntaria para gestionar los riesgos relacionados con la IA. Organiza los controles en cuatro funciones principales: Gobernanza, Mapeo, Medición, Gestión.

Cobertura

✓GOVERNPolíticas, responsabilidad, cultura

✓MAPContexto e identificación de riesgos

✓MEASUREMétricas, pruebas, monitoreo

✓MANAGEPriorizar, responder, recuperar

Ejemplo de cumplimiento →

Cumplimiento por posición de despliegue

La solidez de la evidencia de cumplimiento depende de dónde se sitúa ShieldAgent en tu arquitectura. Las posiciones aplicadas por infraestructura proporcionan registros de aplicación automáticos y a prueba de manipulaciones. La Posición E (Verdict API) coloca la responsabilidad de aplicación en el cliente.

Posición E — Requisito del Art. 9 de la Ley de IA de la UE

Según el Artículo 9 de la Ley de IA de la UE, los desplegadores de sistemas de IA de alto riesgo deben adoptar medidas adecuadas de gestión de riesgos. Al usar el Verdict API (Posición E), la aplicación la realiza el código propio del cliente — no la infraestructura de ShieldAgent. Para satisfacer las obligaciones del Art. 9, las organizaciones deben:

Documentar el mecanismo de aplicación en su sistema de gestión de riesgos.
Llama a confirmExecution(auditEventId, { executed: boolean }) tras cada veredicto para proporcionar evidencia de aplicación de bucle cerrado en el registro de auditoría.
Mantén una tasa de aplicación del veredicto por encima de su umbral documentado (visible en los paneles de cumplimiento). Los clientes que no llamen a confirmExecution() aparecen como aplicación desconocida en los informes del Anexo IV.

Usar la Posición E sin aplicar los veredictos puede comprometer tu postura de cumplimiento para sistemas de IA de alto riesgo. Si tu arquitectura requiere bloqueo garantizado por infraestructura pero eres propietario de tu servidor, considera la Posición B (sidecar de tu servidor) en su lugar.

Posiciones A / B / C — Aplicación por infraestructura

Proxy en línea, sidecar o post-gateway

ShieldAgent aplica las decisiones de permitir/denegar en línea. Cada decisión de política se registra automáticamente y es a prueba de manipulaciones. La evidencia de cumplimiento es de nivel de infraestructura — no depende del código de la aplicación. Las garantías de aplicación son incondicionales.

Posición D — Observador (solo auditoría)Sin bloqueo

Espejo fuera de banda, sin bloqueo

El tráfico fluye directamente del agente al upstream. ShieldAgent recibe una copia asíncrona para auditoría y detección. Proporciona evidencia de auditoría completa, puntuación de riesgo y detección de anomalías — pero no puede bloquear amenazas antes de su ejecución. Para sistemas de IA de alto riesgo según la Ley de IA de la UE, el modo Observador NO satisface los requisitos de bloqueo bajo las obligaciones de mitigación de riesgos del Art. 9. Úsalo solo como paso de evaluación o transición.

Posición E — Verdict API

Aplicación del lado del cliente mediante SDK

ShieldAgent emite un veredicto de seguridad; el código del cliente decide si ejecutar o rechazar la solicitud. Llamar a confirmExecution() registra la prueba de aplicación en el registro de auditoría. El cumplimiento requiere los propios controles de aplicación del cliente. La documentación del Anexo IV incluye el mecanismo de aplicación del cliente y las tasas de aplicación del veredicto.

Recopilación automática de evidencias

ShieldAgent recopila evidencias de cumplimiento continuamente mientras operan tus agentes. El registro de auditoría es inmutable y verificado con Merkle — cada registro es a prueba de manipulaciones.

Puntuación de riesgo Puntuaciones de riesgo por agente actualizadas en cada solicitud — se mapea con §4 gestión de riesgos y NIST MAP

Decisiones de política Cada decisión de permitir/denegar/shadow registrada con marcas de tiempo — se mapea con §3 supervisión y NIST MANAGE

Registro de auditoría Registro de eventos inmutable con pruebas de integridad Merkle — se mapea con §5 gobernanza de datos e ISO 42001 Cláusula 9

Detección de anomalías Análisis de comportamiento estadístico — se mapea con §6 solidez y NIST MEASURE

Cola de revisión humana Llamadas de herramientas marcadas para aprobación humana — se mapea con el mandato de supervisión humana del §3

Registro de incidentes Eventos de seguridad y cronología de resolución — se mapea con ISO 42001 Cláusula 10 y NIST MANAGE

Requisitos de retención de auditoría

Marco	Retención mínima	Configuración
Anexo IV de la Ley de IA de la UE	10 años	AUDIT_RETENTION_DAYS=3650
ISO 42001	3 años (recomendado)	AUDIT_RETENTION_DAYS=1095
NIST AI RMF	Definido por la organización	AUDIT_RETENTION_DAYS=<tu valor>
SOC 2	1 año como mínimo	AUDIT_RETENTION_DAYS=365

SOC 2 y Posición E: Los despliegues en Posición E (Verdict API) satisfacen los controles SOC 2 CC6/CC7 cuando se combinan con los propios controles de aplicación del cliente. El registro de auditoría registra cada veredicto emitido y cada llamada a confirmExecution() — este registro combinado constituye la evidencia de control de acceso lógico y monitoreo de operaciones del sistema requerida por los criterios de servicios de confianza.