Planes que respaldan el uso de funciones de IA
| Profesional | Negocio | Empresa |
|---|---|---|
En Document360, estamos comprometidos con la transparencia con nuestros clientes con respecto a nuestros productos y cómo utilizamos la IA para mejorar su experiencia. Aquí hay una descripción general completa de la funcionalidad de Eddy AI, destacando nuestras sólidas medidas de seguridad y prácticas de privacidad
Conformidad
Eddy AI, nuestra herramienta avanzada impulsada por IA, se adhiere a estrictos estándares de cumplimiento como:
GDPR: Nos adherimos al Reglamento General de Protección de Datos, lo que garantiza una sólida protección de datos y privacidad para todas las personas en la Unión Europea.
SOC 2 Tipo 2: Nuestras prácticas se alinean con los requisitos de SOC 2 Tipo 2 y la Ley de IA de la UE, lo que demuestra nuestro compromiso con la seguridad, la disponibilidad y la confidencialidad.
Subprocesadores
Para ofrecer un servicio de alta calidad, Eddy AI aprovecha una red de subprocesadores de confianza. Entre ellas se encuentran:
MongoDB: Utilizado como nuestra base de datos vectorial.
OpenAI: Proporciona capacidades de IA, utilizando sus modelos avanzados.
Azure: Nuestro proveedor de nube garantiza una infraestructura escalable y confiable.
Stripe: Facilita el procesamiento seguro de pagos.
Segmento: Se utiliza para el análisis de productos con el fin de mejorar la experiencia del usuario.
Mixpanel: Habilita análisis avanzados.
Seguridad y privacidad de los datos
Nos tomamos muy en serio los hechos, la seguridad y la privacidad. Todos los datos asociados con Eddy AI se almacenan y cifran de forma segura. Así es como garantizamos la integridad y confidencialidad de su información:
Datos en reposo: Toda la información se encripta mediante protocolos de encriptación estándar de la industria.
Datos en tránsito: Los datos transmitidos entre su herramienta y nuestros servidores están encriptados para salvarlo de la interceptación y la manipulación.
Eddy AI está diseñado para proporcionar un rendimiento general constante y confiable, incluso con una alta utilización. Document360 también proporciona un plan de respuesta a incidentes de IA.
Recursos
1. Política de criptografía
Propósito: La política tiene como objetivo garantizar el uso adecuado y efectivo de la criptografía para proteger la confidencialidad, autenticidad e integridad de la información.
Alcance: La política se aplica a todos los sistemas de información desarrollados y/o controlados por Document360 que almacenan o transmiten datos confidenciales.
Propietario de la póliza: El CEO es responsable de la póliza.
Fecha de entrada en vigor: La póliza entra en vigor el 1 de marzo de 2024.
Evaluación de riesgos: Document360 evalúa los riesgos e implementa controles criptográficos para mitigarlos cuando corresponda.
Estándares de cifrado: La criptografía sólida con procesos y procedimientos de administración de claves asociados debe implementarse y documentarse de acuerdo con los estándares de la industria, incluido NIST SP 800-57. Tenemos una implementación parcial del marco de gestión de riesgos de IA del NIST.
Administración de claves: el acceso a las claves y los secretos está estrictamente controlado, y existen recomendaciones específicas para el uso de claves criptográficas, incluidos los tipos de claves, los algoritmos y las longitudes de las claves para varios dominios, como certificados web, cifrados web y almacenamiento de puntos finales.
Excepciones: Las solicitudes de excepciones a la política deben enviarse al director ejecutivo para su aprobación y deben documentarse.
Violaciones y cumplimiento: Las violaciones conocidas deben ser reportadas al CEO y pueden resultar en acciones disciplinarias, incluyendo la terminación del empleo.
Datos en reposo: Los datos confidenciales en reposo deben cifrarse mediante cifrado simétrico con AES-256 bits durante un período máximo de 1 año.
Contraseñas: Las contraseñas deben ser hasheadas utilizando funciones hash unidireccionales como Bcrypt, PBKDF2, scrypt o Argon2, con una clave de 256 bits y un tramo de 10K, incluida una sal y pimienta criptográfica única.
2. Plan de respuesta a incidentes
Propósito y alcance: El documento tiene como objetivo proporcionar un plan para la gestión de incidentes y eventos de seguridad de la información, cubriendo todas las ocurrencias dentro de la empresa.
Definiciones: Aclara la diferencia entre un evento de seguridad (un suceso observable relevante para la seguridad de los datos) y un incidente de seguridad (un evento que resulta en pérdidas o daños a la seguridad de los datos).
Informes y documentación: Se instruye a los empleados para que informen de cualquier incidente sospechoso de inmediato utilizando canales de comunicación específicos, y todos los incidentes deben estar documentados.
Niveles de gravedad: Los incidentes se clasifican en niveles de gravedad S1 (crítico), S2 (alto) y S3/S4 (medio/bajo), con directrices claras para la escalada y la respuesta.
Equipo de Respuesta a Incidentes: Los gerentes de ingeniería lideran el esfuerzo de respuesta a incidentes, con una "Sala de Guerra" designada para la respuesta centralizada. Se llevan a cabo reuniones periódicas para actualizar el ticket de incidente, documentar indicadores de compromiso y realizar otras actividades de respuesta.
Análisis de causa raíz: Para incidentes críticos, se realiza un análisis de causa raíz, se documenta y es revisado por el Director de Ingeniería, quien decide la necesidad de una reunión post-mortem.
Proceso de respuesta: El proceso de respuesta incluye triaje, investigación, contención, erradicación, recuperación y endurecimiento, con un enfoque en las lecciones aprendidas y las mejoras a largo plazo.
Seguridad física: El documento aborda la seguridad física de los sistemas afectados, incluidos los procedimientos de aislamiento y copia de seguridad.
Determinación y notificación de infracciones: Solo el propietario del producto puede determinar si un incidente constituye una infracción. La empresa notificará de inmediato a todas las partes relevantes de acuerdo con las políticas y los requisitos reglamentarios.
Comunicaciones externas: La empresa coopera con los clientes, los controladores de datos y las autoridades, según sea necesario, y el personal legal y ejecutivo determina el enfoque.
Funciones y responsabilidades: El documento describe las responsabilidades específicas de las funciones de respuesta a incidentes.
Consideraciones especiales: Incluye el manejo de problemas internos, comunicaciones comprometidas y compromisos de cuentas raíz.
Estado y resumen del incidente: Se proporciona una plantilla detallada para documentar los detalles del incidente, incluida la fecha, la hora, la ubicación, el personal involucrado, el tipo de información involucrada, los indicadores de compromiso, la causa raíz y las acciones tomadas.
Propietario de la póliza y fecha de entrada en vigor: El propietario del producto es el propietario de la póliza y el plan entra en vigor el 1 de marzo de 2024.
3. Política de roles y responsabilidades de seguridad de la información
Objetivo: Establecer funciones y responsabilidades claras para la protección de los sistemas de información electrónica y el equipo conexo.
Propietario de la póliza y fecha de entrada en vigor: El director ejecutivo es el propietario de la póliza y el plan entra en vigor el 1 de marzo de 2024.
Aplicabilidad
Se aplica a toda la infraestructura, los segmentos de red, los sistemas, los empleados y los contratistas de Document360 que participan en las funciones de seguridad y TI.
Audiencia
Todos los empleados y contratistas involucrados en el Programa de Seguridad de la Información.
Incluye socios, afiliados, empleados temporales, aprendices, invitados y voluntarios.
Funciones y responsabilidades
Liderazgo Ejecutivo:
Aprueba los gastos de capital para programas de seguridad.
Supervisa la ejecución y comunicación de la seguridad de la información y la gestión de riesgos de privacidad.
Garantiza el cumplimiento de las leyes y normas (por ejemplo, GDPR, CCPA, SOC 2, ISO 27001).
Revisa los contratos de servicios de los proveedores y supervisa la gestión de riesgos de terceros.
Director de Ingeniería:
Supervisa la seguridad de la información en el desarrollo de software.
Implementa y supervisa controles de seguridad para los procesos de desarrollo y TI.
Realiza evaluaciones de riesgos de TI y comunica los riesgos a los líderes.
Vicepresidente de Atención al Cliente:
Gestiona las herramientas y los procesos de seguridad de la información en los entornos de los clientes.
Garantiza el cumplimiento de las políticas de retención y eliminación de datos.
Propietarios del sistema:
Mantener la confidencialidad, integridad y disponibilidad de los sistemas de información.
Aprobar las solicitudes de acceso y cambio para sus sistemas.
Empleados, Contratistas, Trabajadores Temporales:
Actúe de manera responsable para proteger la salud, la seguridad y los recursos de información.
Identificar áreas para mejorar las prácticas de gestión de riesgos.
Reporte incidentes y cumpla con las políticas de la empresa.
Director de Recursos Humanos
Garantiza que los empleados y contratistas estén calificados y sean competentes.
Supervisa las verificaciones de antecedentes, la presentación de políticas y el cumplimiento del Código de Conducta.
Evalúa el desempeño de los empleados y brinda capacitación en seguridad.
Cumplimiento de políticas
El cumplimiento se mide a través de informes, auditorías y comentarios.
Las excepciones deben ser aprobadas previamente por el CEO.
El incumplimiento puede dar lugar a medidas disciplinarias, incluida la rescisión.
Control de documentos
Versión: 1.0
Fecha: 3 de febrero de 2024
4. Política de desarrollo seguro
Propietario de la póliza y fecha de entrada en vigor: El director ejecutivo es el propietario de la póliza y el plan entra en vigor el 1 de marzo de 2024.
Propósito: Garantizar que la seguridad de la información se diseñe e implemente dentro del ciclo de vida de desarrollo de aplicaciones y sistemas de información.
Alcance: Se aplica a todas las aplicaciones y sistemas de información de Document360 que son críticos para el negocio y/o procesan, almacenan o transmiten datos confidenciales.
Principios de seguridad por diseño:
Minimice el área de superficie de ataque.
Establecer valores predeterminados seguros.
Aplicar el principio del Mínimo Privilegio.
Implementar la defensa en profundidad.
Falla de forma segura.
Evite la seguridad por oscuridad.
Simplifique la seguridad.
Principios de privacidad desde el diseño:
Enfoque proactivo y preventivo.
Privacidad como configuración predeterminada.
Privacidad integrada en el diseño.
Funcionalidad completa sin comprometer la privacidad.
Seguridad de extremo a extremo.
Protección durante todo el ciclo de vida.
Entorno de desarrollo: Segregación lógica o física de entornos: Producción, Test/Staging, Desarrollo.
Pruebas de aceptación del sistema: Establecer programas de pruebas de aceptación y criterios para nuevos sistemas de información, actualizaciones y nuevas versiones. Complete una lista de comprobación de versiones antes de implementar el código.
Protección de los datos de prueba: Los datos de prueba deben seleccionarse cuidadosamente, protegerse y controlarse. Los datos confidenciales de los clientes deben protegerse y no utilizarse para realizar pruebas sin permiso explícito.
Procedimientos de control de cambios: Asegúrese de que el desarrollo, las pruebas y la implementación de los cambios no los realice una sola persona sin aprobación y supervisión.
Control de versiones de software: Todo el software está controlado por versiones, con acceso restringido según el rol.
Cumplimiento de políticas: Medido a través de informes, auditorías y comentarios. El incumplimiento puede dar lugar a medidas disciplinarias, que pueden incluir la rescisión.
5. Política del código de conducta
Propietario de la póliza: El CEO es responsable de la póliza.
Fecha de entrada en vigor: La póliza entra en vigor el 1 de marzo de 2024.
Propósito: La política tiene como objetivo establecer y mantener un entorno seguro e inclusivo para todos los miembros del personal.
Alcance: esta política se aplica a todos los miembros del personal en todos los entornos profesionales de la organización.
Cultura: La cultura organizacional promovida por esta política enfatiza el respeto, la colaboración y la consideración entre todos los empleados.
Comportamiento esperado: Se espera que los miembros del personal participen activamente en la creación de un entorno laboral respetuoso y colaborativo.
Comportamiento inaceptable: Cualquier forma de acoso, violencia, discriminación o conducta inapropiada está estrictamente prohibida.
Política de armas: La política prohíbe la posesión de armas en las instalaciones de la empresa, con estrictas consecuencias para las violaciones.
Consecuencias: El incumplimiento de esta política dará lugar a acciones correctivas inmediatas, incluidas medidas disciplinarias y el requisito de denunciar infracciones.
Responsabilidad: El CEO tiene la responsabilidad de garantizar que todos los miembros del personal se adhieran y defiendan los principios descritos en esta política.
6. Política de control de acceso
Propietario de la póliza: El CEO es responsable de la póliza.
Fecha de entrada en vigor: La póliza entra en vigor el 1 de marzo de 2024.
Propósito: El propósito de esta política es restringir el acceso a la información y los sistemas a las personas autorizadas de acuerdo con los objetivos comerciales.
Alcance: Esta política se aplica a todos los sistemas operados por Document360 que manejan datos confidenciales de empleados y partes externas con acceso a la red.
Resumen de control de acceso y gestión de usuarios:
Identificación de los usuarios: Los privilegios de acceso se asignan en función de los roles de trabajo específicos y las competencias necesarias para realizar tareas.
Mantenimiento de la autorización: Todas las asignaciones de acceso privilegiado se documentan y mantienen para garantizar la responsabilidad.
Aplicación de medidas de seguridad: La autenticación multifactor (MFA) es obligatoria para el acceso privilegiado a fin de mejorar la seguridad. Se prohíben los identificadores administrativos genéricos para evitar el uso no autorizado.
Adopción de protocolos: Se conceden permisos de acceso con límite de tiempo para limitar la exposición y reducir los riesgos de seguridad.
Registro y auditoría: Todos los inicios de sesión y actividades con privilegios se registran y auditan para supervisar el acceso no autorizado o el uso indebido.
Reseñas de acceso de usuarios: Las revisiones periódicas garantizan que se mantengan identidades distintas y apropiadas para aquellos con acceso privilegiado.
Política de control de acceso: El acceso está restringido solo a las partes autorizadas, lo que garantiza que la información permanezca protegida.
Administración de contraseñas: Se implementan procedimientos de inicio de sesión seguros y políticas de contraseñas para protegerse contra el acceso no autorizado.
Aprovisionamiento de acceso de usuarios: Los permisos de acceso se conceden en función de los requisitos empresariales documentados y las necesidades validadas.
Violaciones y cumplimiento: Las violaciones de esta política se informan y están sujetas a medidas de cumplimiento para mantener el cumplimiento y la seguridad.
7. Política de gestión de datos
Propietario de la póliza: El CEO es responsable de la póliza.
Fecha de entrada en vigor: La póliza entra en vigor el 1 de marzo de 2024.
Propósito: Para garantizar que la información se clasifique, proteja, conserve y elimine de forma segura en función de su importancia para la organización.
Alcance: Se aplica a todos los datos, información y sistemas de información de Document360.
Clasificación de datos: Confidencial: Datos altamente sensibles que necesitan los más altos niveles de protección. Algunos ejemplos son los datos de los clientes, la información de identificación personal, las finanzas de la empresa, los planes estratégicos y los informes técnicos.
Restringido: Información patentada que requiere una protección exhaustiva. Clasificación predeterminada para toda la información de la empresa, a menos que se indique lo contrario. Algunos ejemplos son las políticas internas, los documentos legales, los contratos y los correos electrónicos.
Público: Información destinada al consumo público y susceptible de distribución libre. Algunos ejemplos son los materiales de marketing y las descripciones de los productos.
Tratamiento de datos:
Datos confidenciales:
Acceso restringido a empleados o departamentos específicos.
Debe estar cifrado en reposo y en tránsito.
No debe almacenarse en dispositivos personales ni en medios extraíbles.
Requiere almacenamiento y eliminación seguros.
Datos restringidos:
Acceso restringido a usuarios con necesidad de conocer.
Requiere la aprobación de la gerencia para la transferencia externa.
El almacenamiento y la eliminación seguros son obligatorios.
Datos Públicos: No se requiere protección especial ni controles de manipulación.
Retención y eliminación de datos:
Los datos se conservan durante el tiempo que sea necesario para cumplir con los requisitos comerciales, reglamentarios o contractuales.
Los datos confidenciales y restringidos se eliminan de forma segura cuando ya no se necesitan.
PII eliminada o anonimizada cuando ya no es necesaria para fines comerciales.
Revisión anual de datos: La administracion revisa anualmente los requisitos de retencion de datos para garantizar el cumplimiento de la politica.
Requisitos legales: Los datos asociados con retenciones legales o demandas están exentos de los requisitos estándar de la póliza y se conservan según las estipulaciones del asesor legal.
Cumplimiento de políticas: El cumplimiento se mide a través de informes y auditorías de herramientas de negocio.
Excepciones: Cualquier excepción a la política requiere la aprobación del director ejecutivo.
Violaciones y cumplimiento: Las violaciones conocidas de la política deben informarse al director ejecutivo y pueden dar lugar a medidas disciplinarias, incluida la terminación del empleo.
8. Política de seguridad de las operaciones
Propietario de la póliza: El CEO es responsable de la póliza.
Fecha de entrada en vigor: La póliza entra en vigor el 1 de marzo de 2024.
Objeto y ámbito de aplicación:
Garantizar el funcionamiento seguro de los sistemas e instalaciones de procesamiento de información.
Se aplica a todos los sistemas de información críticos de Document360 y a entidades de terceros con acceso a la red.
Procedimientos Operativos Documentados:
Los procedimientos técnicos y administrativos deben estar documentados y ser accesibles a los usuarios pertinentes.
Gestión del cambio:
Los cambios significativos deben documentarse, probarse, revisarse y aprobarse antes de la implementación.
Los cambios de emergencia requieren revisión y autorización retrospectivas.
Gestión de la capacidad:
Supervise y ajuste los recursos de procesamiento y el almacenamiento del sistema para cumplir con los requisitos de rendimiento.
Incluir la capacidad de los recursos humanos en la planificación y las evaluaciones anuales de riesgos.
Prevención de fuga de datos:
Identifique y clasifique la información según la Política de Gestión de Datos.
Capacitar a los usuarios en el manejo adecuado de la información confidencial.
Utilice herramientas de prevención de pérdida de datos (DLP) basadas en la evaluación de riesgos.
Filtrado web:
Implemente el bloqueo de DNS e IP para restringir el acceso a sitios web riesgosos.
Bloquee sitios web con contenido malicioso o servidores de comando y control a menos que sea necesario para el negocio.
Separación de ambientes:
Separe estrictamente los entornos de desarrollo, ensayo y producción.
No utilice datos confidenciales de clientes de producción en entornos de desarrollo o prueba sin aprobación.
Configuración de sistemas y redes:
Siga los estándares de configuración y endurecimiento para mantener la seguridad del sistema y de la red.
Revise anualmente las reglas de configuración de acceso a la red de producción.
Protección contra malware:
Implemente controles de detección, prevención y recuperación de malware.
Utilice software antimalware y de detección de amenazas en todos los endpoints y correos electrónicos de la empresa.
Copia de seguridad de la información: Diseñe e implemente procesos de copia de seguridad de sistemas y datos, asegurando la recuperación de datos de los clientes según los SLA.
Registro y monitoreo: Implemente el registro y la supervisión para detectar y responder a los incidentes de seguridad.
Control del software operativo: Gestionar la instalación y el uso del software operativo de acuerdo con las reglas establecidas.
Inteligencia de amenazas: Recopile y analice las amenazas a la seguridad de la información para producir inteligencia procesable.
Gestión de Vulnerabilidades Técnicas: Identifique, evalúe y aborde las vulnerabilidades técnicas de manera oportuna.
Restricciones en la instalación de software: Establezca reglas para la instalación de software para garantizar la seguridad y el cumplimiento.
Consideraciones de auditoría de sistemas de información: Planifique y acuerde los requisitos de auditoría para minimizar las interrupciones en los procesos empresariales.
Evaluación y requisitos de seguridad de sistemas: Incluir requisitos de seguridad en la adquisición o cambios significativos en los sistemas.
Enmascaramiento de datos: Implemente técnicas de enmascaramiento de datos para proteger la información personal y los datos confidenciales en función de la evaluación de riesgos.
9. Política de retención de datos
Propietario de la póliza: El director ejecutivo es responsable de la política de retención de datos.
Fecha de entrada en vigor: La póliza entra en vigor el 1 de marzo de 2024.
Propósito: Esta política describe cómo se almacenan, analizan y eliminan los datos dentro de Document360, lo que garantiza la transparencia y el control del usuario sobre la información retenida.
Ámbito: esta política se aplica a todos los clientes que utilizan Document360, incluidos los proyectos de base de conocimiento públicos y privados.
Recopilación de datos:
En el caso de los sitios públicos: no se recopilan datos a nivel de usuario.
Para proyectos privados: Recopilamos datos a nivel de usuario, incluida la identidad del usuario que envía una solicitud, marcas de tiempo y otra información del usuario disponible en Document360.
Uso de datos: Document360 almacena todas las indicaciones/preguntas introducidas en el chatbot de Eddy AI para realizar los siguientes análisis:
Análisis temático: Agrupación de preguntas/sugerencias utilizando algoritmos internos y API de OpenAI.
Análisis de citas: Identificación de los artículos más citados.
Métricas: muestra métricas de profundidad y realiza un seguimiento de las preguntas respondidas frente a las no respondidas.
Personalización: Esta política no es personalizable por el cliente, pero los clientes tienen derecho a solicitar la eliminación de sus datos en cualquier momento durante el período del contrato.
Retención y eliminación de datos:
Todos los datos recopilados se conservan en su proyecto de Document360.
Los datos se eliminan de forma permanente cuando se elimina el proyecto de base de conocimiento.
Puede solicitar la eliminación de estos datos en cualquier momento durante su contrato con Document360.
Responsabilidad: El CEO es responsable de garantizar la implementación y el cumplimiento de esta política en todas las cuentas y proyectos de los clientes.
Privacidad de datos
Priorizamos su privacidad y nos aferramos a una información estricta que trata con las prácticas:
Cumplimiento de la privacidad de los datos: Hemos firmado un acuerdo de procesamiento de datos (DPA) con OpenAI, en el que se describe nuestro compromiso con la privacidad y la protección de los datos. Para obtener más detalles, consulte DPA con OpenAI.
Utilizamos los modelos ChatGPT 3.5 y GPT-4 de OpenAI para impulsar Eddy AI, lo que garantiza un rendimiento y capacidades de vanguardia.
Esta función se adhiere a las políticas de privacidad de OpenAI mediante el uso de una forma de integración de OpenAI.
Enviamos datos a OpenAI a través de sus API. Un extracto de la política dice: "OpenAI no utilizará los datos enviados por los clientes a través de nuestra API para entrenar modelos de OpenAI o mejorar las ofertas de servicios de OpenAI". Todos los datos enviados a través de la API a OpenAI se conservarán con fines analíticos durante un máximo de 30 días, transcurridos los cuales se eliminarán.
NOTA
Lea el OpenAI API data usage policiescompleto.
Si tiene alguna pregunta sobre la política de datos de Document360, lea nuestro Privacy policy.
Preguntas frecuentes
¿Document360 incluye alguna característica de IA generativa o modelo de lenguaje grande (LLM)?
Sí, Eddy AI, una función de Document360, utiliza LLM de terceros como OpenAI, API antrópicas e IA generativa para mejorar la experiencia del usuario. Aprovecha los modelos lingüísticos avanzados para proporcionar asistencia inteligente y generación de contenidos.
¿Podemos optar por no entrenar a IA/LLM de terceros con nuestros datos?
Sí, los datos de los clientes no se utilizan para entrenar modelos de IA/LLM. Eddy AI utiliza la tecnología de OpenAI, pero según la política de privacidad de OpenAI y nuestro acuerdo con ellos, los datos enviados a través de su sistema no se utilizan para el entrenamiento de IA.
Enviamos datos a OpenAI a través de su API. Como se indica en su política: "OpenAI no utilizará los datos enviados por los clientes a través de nuestra API para entrenar modelos de OpenAI o mejorar las ofertas de servicios de OpenAI". Sin embargo, OpenAI puede retener los datos hasta 30 días con fines de análisis y cumplimiento, después de lo cual se eliminan permanentemente.
¿Eddy AI se basa en la misma infraestructura que Document360?
Sí, Eddy AI se ejecuta en la misma infraestructura segura y fiable que Document360. Esto garantiza un rendimiento constante y el cumplimiento de nuestros estándares.
¿En qué países y regiones se alojan estas tecnologías/plataformas/modelos de IA?
Las tecnologías/plataformas/modelos de IA están alojados en la región de la Unión Europea (UE).
¿Cómo garantiza Document360 que no se acceda a mis datos ni se filtren a otros clientes? ¿Qué garantía de seguridad se aprueba?
Document360 cumple con SOC II y se adhiere a las mejores prácticas de ingeniería estándar del sector para garantizar el aislamiento y la protección de los datos. Se implementan sólidas medidas de seguridad para evitar el acceso no autorizado, lo que garantiza que sus datos permanezcan seguros e inaccesibles para otros clientes. Para obtener más información, consulte nuestras prácticas de seguridad.
¿Cómo garantiza Document360 que no se ingieran datos de clientes no segmentados?
Document360 se adhiere estrictamente al RGPD y a la Ley de IA de la UE. Nuestros procesos internos y prácticas de manejo de datos están diseñados para alinearse con todos los requisitos legales y de cumplimiento relevantes, lo que garantiza que solo se procesen los elementos de datos previstos y autorizados. Los datos de clientes no segmentados se excluyen explícitamente de la ingesta.
¿Cuál es el SLA de tiempo de actividad y es compatible con todos los subprocesadores y terceros?
Document360 mantiene un SLA de tiempo de actividad del 99,99 %, que es totalmente compatible con todos los subprocesadores relevantes y proveedores de servicios externos involucrados en la prestación de nuestros servicios.
¿Qué controles existen para detectar y prevenir errores?
Registramos todos los resultados y respuestas generados por Eddy AI. Además, estamos en el proceso de integrar herramientas de observabilidad de LLM para mejorar las capacidades de monitoreo y prevención de errores.
¿Cuál es el margen de error esperado para las respuestas de Eddy AI? ¿Cómo se supervisa y mide el cumplimiento del margen de error permitido?
Según nuestras pruebas internas, Eddy AI demuestra una tasa de precisión del 96-98% al responder a las consultas de los usuarios. Estamos integrando activamente herramientas de observabilidad de LLM y utilizamos marcos de evaluación como OpenAI Evals, RAGAS y GeneralQA metrics para evaluar el rendimiento y la precisión frente a los puntos de referencia definidos.
¿Se ha evaluado el producto para determinar si hay sesgo, toxicidad o contenido dañino, como amenazas, blasfemias o polaridad política?
Sí, utilizamos las API de moderación de OpenAI para evaluar las respuestas a contenido dañino. Si se marca una respuesta, Eddy AI evitará generar la respuesta.
¿Cómo se gestiona el riesgo de alucinación con IA en Eddy AI?
Document360 tiene una estrategia de mitigación de riesgos de IA. Eddy AI está estrictamente restringido al contenido de su base de conocimientos. Las indicaciones de nuestro sistema guían a la IA para evitar generar respuestas incompatibles o inventadas. Si Eddy AI no está seguro o no puede citar una fuente confiable, responderá con un "No lo sé".
¿Son explicables las decisiones de la IA y hay supervisión humana en el proceso?
Sí, todas las respuestas generadas por IA de Eddy AI incluyen citas en línea, lo que permite a los usuarios finales ver claramente la fuente de la información y comprender cómo se genera la respuesta. Además, seguimos un enfoque humano como parte de nuestra gobernanza de IA. Si bien Eddy AI puede ayudar con recomendaciones, las decisiones finales se dejan en manos de los humanos, lo que garantiza la supervisión y la responsabilidad.