Descargo de responsabilidad: Este artículo se generó mediante traducción automática.

Página de confianza de Eddy AI

actualizar
  • Actualizado en Oct 3, 2025
  • 27 minuto(s) leído(s)
Prev Next

Planes que admiten esta función: Professional Business Enterprise

En Document360, estamos comprometidos con la transparencia con nuestros clientes con respecto a nuestros productos y cómo usamos la IA para mejorar su experiencia. Aquí hay una descripción general completa de la funcionalidad de Eddy AI, destacando nuestras sólidas medidas de seguridad y prácticas de privacidad

Conformidad

Eddy AI, nuestra herramienta avanzada impulsada por IA, se adhiere a estrictos estándares de cumplimiento como:

  • GDPR: Nos adherimos al Reglamento General de Protección de Datos, lo que garantiza una sólida protección de datos y privacidad para todas las personas en la Unión Europea.

  • SOC 2 Tipo 2: Nuestras prácticas se alinean con los requisitos de SOC 2 Tipo 2 y la Ley de IA de la UE, lo que demuestra nuestro compromiso con la seguridad, la disponibilidad y la confidencialidad.

Subprocesadores

Para ofrecer un servicio de alta calidad, Eddy AI aprovecha una red de subprocesadores de confianza. Estos incluyen:

  • MongoDB: Utilizado como nuestra base de datos vectorial.

  • OpenAI: Proporciona capacidades de IA, utilizando sus modelos avanzados.

  • Azure: Nuestro proveedor de nube garantiza una infraestructura escalable y confiable.

  • Stripe: Facilita el procesamiento seguro de pagos.

  • Segmento: Se utiliza para el análisis de productos para mejorar la experiencia del usuario.  

  • Mixpanel: Permite análisis avanzados.

Seguridad y privacidad de los datos

Nos tomamos muy en serio los hechos, la seguridad y la privacidad. Todos los hechos asociados con Eddy AI se almacenan y cifran de forma segura. Así es como garantizamos la integridad y confidencialidad de su información:

  • Datos en reposo: Toda la información se cifra utilizando protocolos de cifrado estándar de la industria.

  • Datos en tránsito: los datos transmitidos entre su herramienta y nuestros servidores están encriptados para evitar la interceptación y la manipulación.

Eddy AI está diseñado para proporcionar un rendimiento general constante y confiable, incluso bajo una alta utilización. Document360 también proporciona un plan de respuesta a incidentes de IA.

Recursos

1. Política de criptografía

Propósito: La política tiene como objetivo garantizar el uso adecuado y efectivo de la criptografía para proteger la confidencialidad, autenticidad e integridad de la información.

Alcance: La política se aplica a todos los sistemas de información desarrollados y/o controlados por Document360 que almacenan o transmiten datos confidenciales.

Propietario de la póliza: El CEO es responsable de la póliza.

Fecha de vigencia: La póliza entra en vigencia el 1 de marzo de 2024.

Evaluación de riesgos: Document360 evalúa los riesgos e implementa controles criptográficos para mitigarlos cuando corresponda.

Estándares de cifrado: La criptografía sólida con procesos y procedimientos de administración de claves asociados debe implementarse y documentarse de acuerdo con los estándares de la industria, incluido NIST SP 800-57. Tenemos una implementación parcial del Marco de Gestión de Riesgos de IA del NIST.

Administración de claves: el acceso a claves y secretos está estrictamente controlado, y existen recomendaciones específicas para el uso de claves criptográficas, incluidos tipos de claves, algoritmos y longitudes de clave para varios dominios, como certificados web, cifrados web y almacenamiento de puntos de conexión.

Excepciones: Las solicitudes de excepciones a la política deben enviarse al CEO para su aprobación y deben documentarse.

Violaciones y cumplimiento: Las violaciones conocidas deben informarse al CEO y pueden resultar en medidas disciplinarias, incluida la terminación del empleo.

Datos en reposo: Los datos confidenciales en reposo deben cifrarse mediante cifrado simétrico con AES-256 bits durante un período máximo de 1 año.

Contraseñas: Las contraseñas deben ser hash utilizando funciones hash unidireccionales como Bcrypt, PBKDF2, scrypt o Argon2, con una clave de 256 bits y un estiramiento de 10K, incluida una sal y pimienta criptográfica única.

2. Plan de respuesta a incidentes

Propósito y alcance: El documento tiene como objetivo proporcionar un plan para gestionar incidentes y eventos de seguridad de la información, que cubra todos estos sucesos dentro de la empresa.

Definiciones: Aclara la diferencia entre un evento de seguridad (un suceso observable relevante para la seguridad de los datos) y un incidente de seguridad (un evento que resulta en pérdida o daño a la seguridad de los datos).

Informes y documentación: Los empleados deben informar cualquier incidente sospechoso de inmediato utilizando canales de comunicación específicos, y todos los incidentes deben documentarse.

Niveles de gravedad: Los incidentes se clasifican en niveles de gravedad S1 (crítico), S2 (alto) y S3/S4 (medio/bajo), con pautas claras para la escalada y la respuesta.

Equipo de respuesta a incidentes: Los gerentes de ingeniería lideran el esfuerzo de respuesta a incidentes, con una "sala de guerra" designada para una respuesta centralizada. Se llevan a cabo reuniones periódicas para actualizar el ticket del incidente, documentar los indicadores de compromiso y realizar otras actividades de respuesta.

Análisis de causa raíz: Para incidentes críticos, el Director de Ingeniería realiza, documenta y revisa un análisis de causa raíz, quien decide sobre la necesidad de una reunión post-mortem.

Proceso de respuesta: El proceso de respuesta incluye triaje, investigación, contención, erradicación, recuperación y endurecimiento, con un enfoque en las lecciones aprendidas y las mejoras a largo plazo.

Seguridad física: El documento aborda la seguridad física de los sistemas afectados, incluidos los procedimientos de aislamiento y copia de seguridad.

Determinación e informes de infracciones: Solo el propietario del producto puede determinar si un incidente constituye una infracción. La empresa notificará de inmediato a todas las partes relevantes de acuerdo con las políticas y los requisitos reglamentarios.

Comunicaciones externas: La empresa coopera con los clientes, los controladores de datos y las autoridades según sea necesario, y el personal legal y ejecutivo determina el enfoque.

Roles y responsabilidades: El documento describe las responsabilidades específicas de los roles de respuesta a incidentes.

Consideraciones especiales: Incluye el manejo de problemas internos, comunicaciones comprometidas y compromisos de cuentas raíz.

Estado y resumen del incidente: Se proporciona una plantilla detallada para documentar los detalles del incidente, incluida la fecha, la hora, la ubicación, el personal involucrado, el tipo de información involucrada, los indicadores de compromiso, la causa raíz y las acciones tomadas.

Propietario de la póliza y fecha de vigencia: El propietario del producto es el propietario de la póliza y el plan entra en vigencia el 1 de marzo de 2024.

3. Política de roles y responsabilidades de seguridad de la información

Objetivo: Establecer funciones y responsabilidades claras para proteger los sistemas de información electrónica y el equipo conexo.

Propietario de la póliza y fecha de vigencia: El CEO es el propietario de la póliza y el plan entra en vigencia el 1 de marzo de 2024.

Aplicabilidad

  • Se aplica a toda la infraestructura, segmentos de red, sistemas, empleados y contratistas de Document360 involucrados en funciones de seguridad y TI.

Audiencia

  • Todos los empleados y contratistas involucrados en el Programa de Seguridad de la Información.

  • Incluye socios, afiliados, empleados temporales, aprendices, invitados y voluntarios.

Funciones y responsabilidades

  1. Liderazgo ejecutivo:

  • Aprueba los gastos de capital para programas de seguridad.

  • Supervisa la ejecución y comunicación de la gestión de riesgos de seguridad y privacidad de la información.

  • Garantiza el cumplimiento de las leyes y normas (por ejemplo, GDPR, CCPA, SOC 2, ISO 27001).

  • Revisa los contratos de servicio de los proveedores y supervisa la gestión de riesgos de terceros.

  1. Director de Ingeniería:

  • Supervisa la seguridad de la información en el desarrollo de software.

  • Implementa y monitorea controles de seguridad para procesos de desarrollo y TI.

  • Realiza evaluaciones de riesgos de TI y comunica los riesgos a los líderes.

  1. Vicepresidente de Atención al Cliente:

  • Gestiona herramientas y procesos de seguridad de la información en entornos de clientes.

  • Garantiza el cumplimiento de las políticas de retención y eliminación de datos.

  1. Propietarios del sistema:

  • Mantener la confidencialidad, integridad y disponibilidad de los sistemas de información.

  • Aprobar solicitudes de acceso y cambio para sus sistemas.

  1. Empleados, contratistas, trabajadores temporales:

  • Actuar de manera responsable para proteger la salud, la seguridad y los recursos de información.

  • Identificar áreas para mejorar las prácticas de gestión de riesgos.

  • Informe incidentes y cumpla con las políticas de la empresa.

  1. Director de Personal

  • Garantiza que los empleados y contratistas estén calificados y sean competentes.

  • Supervisa las verificaciones de antecedentes, la presentación de políticas y el cumplimiento del Código de Conducta.

  • Evalúa el desempeño de los empleados y brinda capacitación en seguridad.

Cumplimiento de políticas

  • Cumplimiento medido a través de informes, auditorías y comentarios.

  • Las excepciones deben ser aprobadas previamente por el CEO.

  • El incumplimiento puede dar lugar a acciones disciplinarias, incluido el despido.

Control de documentos

  • Versión: 1.0

  • Fecha: 3 de febrero de 2024

4. Política de desarrollo seguro

Propietario de la póliza y fecha de vigencia: El CEO es el propietario de la póliza y el plan entra en vigencia el 1 de marzo de 2024.

Propósito: Garantizar que la seguridad de la información se diseñe e implemente dentro del ciclo de vida de desarrollo de aplicaciones y sistemas de información.

Alcance: Se aplica a todas las aplicaciones y sistemas de información de Document360 que son críticos para el negocio y/o procesan, almacenan o transmiten datos confidenciales.

Principios de seguridad por diseño:

  • Minimice el área expuesta a ataques.

  • Establezca valores predeterminados seguros.

  • Aplicar el principio de privilegio mínimo.

  • Implemente la defensa en profundidad.

  • Fallar de forma segura.

  • Evite la seguridad por oscuridad.

  • Mantenga la seguridad simple.

Principios de privacidad por diseño:

  • Enfoque proactivo y preventivo.

  • Privacidad como configuración predeterminada.

  • Privacidad integrada en el diseño.

  • Funcionalidad completa sin comprometer la privacidad.

  • Seguridad de extremo a extremo.

  • Protección completa del ciclo de vida.

Entorno de desarrollo: Segregación lógica o física de entornos: Producción, Test/Staging, Desarrollo.

Pruebas de aceptación del sistema: Establecer programas y criterios de pruebas de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones. Complete una lista de comprobación de versión antes de implementar el código.

Protección de los datos de prueba: Los datos de prueba deben seleccionarse, protegerse y controlarse cuidadosamente. Los datos confidenciales de los clientes deben protegerse y no utilizarse para pruebas sin permiso explícito.

Procedimientos de control de cambios: Asegúrese de que el desarrollo, las pruebas y la implementación de los cambios no sean realizados por una sola persona sin aprobación y supervisión.

Control de versiones de software: Todo el software está controlado por versiones, con acceso restringido según el rol.

Cumplimiento de políticas: Medido a través de informes, auditorías y comentarios. El incumplimiento puede resultar en medidas disciplinarias, que pueden incluir el despido.

5. Política del código de conducta

Propietario de la póliza: El CEO es responsable de la póliza.

Fecha de vigencia: La póliza entra en vigencia el 1 de marzo de 2024.

Propósito: La política tiene como objetivo establecer y mantener un entorno seguro e inclusivo para todos los miembros del personal.

Alcance: esta política se aplica a todos los miembros del personal en todos los entornos profesionales dentro de la organización.

Cultura: La cultura organizacional promovida por esta política enfatiza el respeto, la colaboración y la consideración entre todos los empleados.

Comportamiento esperado: Se espera que los miembros del personal participen activamente en la creación de un entorno de trabajo respetuoso y colaborativo.

Comportamiento inaceptable: Cualquier forma de acoso, violencia, discriminación o conducta inapropiada está estrictamente prohibida.

Política de armas: La política prohíbe la posesión de armas en las instalaciones de la empresa, con estrictas consecuencias para las violaciones.

Consecuencias: El incumplimiento de esta política dará lugar a acciones correctivas inmediatas, incluidas medidas disciplinarias y el requisito de informar infracciones.

Responsabilidad: El CEO tiene la responsabilidad de garantizar que todos los miembros del personal se adhieran y defiendan los principios descritos en esta política.

6. Política de control de acceso

Propietario de la póliza: El CEO es responsable de la póliza.

Fecha de vigencia: La póliza entra en vigencia el 1 de marzo de 2024.

Propósito: El propósito de esta política es restringir el acceso a la información y los sistemas a las personas autorizadas de acuerdo con los objetivos comerciales.

Alcance: Esta política se aplica a todos los sistemas operados por Document360 que manejan datos confidenciales para empleados y partes externas con acceso a la red.

Resumen de control de acceso y gestión de usuarios:

Identificación de usuarios: Los privilegios de acceso se asignan en función de los roles de trabajo específicos y las competencias necesarias para realizar tareas.

Actualización de la autorización: Todas las asignaciones de acceso privilegiado se documentan y mantienen para garantizar la rendición de cuentas.

Aplicación de medidas de seguridad: La autenticación multifactor (MFA) es obligatoria para el acceso privilegiado para mejorar la seguridad. Los identificadores administrativos genéricos están prohibidos para evitar el uso no autorizado.

Adopción de protocolos: Se conceden permisos de acceso con límite de tiempo para limitar la exposición y reducir los riesgos de seguridad.

Registro y auditoría: Todos los inicios de sesión y actividades privilegiados se registran y auditan para monitorear el acceso no autorizado o el uso indebido.

Reseñas de acceso de usuarios: Las revisiones periódicas garantizan que se mantengan identidades distintas y apropiadas para aquellos con acceso privilegiado.

Política de control de acceso: El acceso está restringido solo a partes autorizadas, lo que garantiza que la información permanezca protegida.

Administración de contraseñas: se implementan procedimientos de inicio de sesión seguros y políticas de contraseñas para protegerse contra el acceso no autorizado.

Aprovisionamiento de acceso de usuario: Los permisos de acceso se otorgan en función de los requisitos comerciales documentados y las necesidades validadas.

Violaciones y aplicación: Las infracciones de esta política se informan y están sujetas a medidas de cumplimiento para mantener el cumplimiento y la seguridad.

7. Política de gestión de datos

Propietario de la póliza: El CEO es responsable de la póliza.

Fecha de vigencia: La póliza entra en vigencia el 1 de marzo de 2024.

Propósito: Garantizar que la información se clasifique, proteja, retenga y elimine de forma segura en función de su importancia para la organización.

Alcance: Se aplica a todos los datos, información y sistemas de información de Document360.

Clasificación de datos: Confidencial: datos altamente confidenciales que necesitan los más altos niveles de protección. Los ejemplos incluyen datos de clientes, PII, finanzas de la empresa, planes estratégicos e informes técnicos.

Restringido: Información patentada que requiere una protección exhaustiva. Clasificación predeterminada para toda la información de la empresa a menos que se indique lo contrario. Los ejemplos incluyen políticas internas, documentos legales, contratos y correos electrónicos.

Público: Información destinada al consumo público y que puede distribuirse libremente. Los ejemplos incluyen materiales de marketing y descripciones de productos.

Manejo de datos:

Datos confidenciales:

  • Acceso restringido a empleados o departamentos específicos.

  • Debe estar encriptado en reposo y en tránsito.

  • No debe almacenarse en dispositivos personales ni en medios extraíbles.

  • Requiere almacenamiento y eliminación seguros.

Datos restringidos:

  • Acceso restringido a usuarios con necesidad de saber.

  • Requiere la aprobación de la dirección para la transferencia externa.

  • El almacenamiento y la eliminación seguros son obligatorios.

Datos públicos: No se requieren controles especiales de protección o manipulación.

Retención y eliminación de datos:

  • Datos conservados durante el tiempo que sea necesario para requisitos comerciales, reglamentarios o contractuales.

  • Datos confidenciales y restringidos eliminados de forma segura cuando ya no se necesitan.

  • PII eliminada o anonimizada cuando ya no sea necesaria para fines comerciales.

Revisión anual de datos: La gerencia revisa los requisitos de retención de datos anualmente para garantizar el cumplimiento de la política.

Requisitos legales: Los datos asociados con retenciones legales o demandas están exentos de los requisitos estándar de la póliza y se conservan según las estipulaciones del asesor legal.

Cumplimiento de políticas: Cumplimiento medido a través de informes y auditorías de herramientas comerciales.

Excepciones: Cualquier excepción a la política requiere la aprobación del CEO.

Violaciones y aplicación: Las violaciones conocidas de las políticas deben informarse al CEO y pueden resultar en acciones disciplinarias, incluida la terminación del empleo.

8. Política de seguridad de las operaciones

Propietario de la póliza: El CEO es responsable de la póliza.

Fecha de vigencia: La póliza entra en vigencia el 1 de marzo de 2024.

Propósito y alcance:

  • Garantizar el funcionamiento seguro de los sistemas e instalaciones de procesamiento de información.

  • Se aplica a todos los sistemas de información críticos de Document360 y a las entidades de terceros con acceso a la red.

Procedimientos operativos documentados:

Los procedimientos técnicos y administrativos deben estar documentados y ser accesibles para los usuarios pertinentes.

Gestión del cambio:

  • Los cambios significativos deben documentarse, probarse, revisarse y aprobarse antes de la implementación.

  • Los cambios de emergencia requieren una revisión y autorización retrospectiva.

Gestión de la capacidad:

  • Supervise y ajuste los recursos de procesamiento y el almacenamiento del sistema para cumplir con los requisitos de rendimiento.

  • Incluir la capacidad de los recursos humanos en la planificación y las evaluaciones anuales de riesgos.

Prevención de fugas de datos:

  • Identificar y clasificar la información según la Política de gestión de datos.

  • Capacitar a los usuarios sobre el manejo adecuado de la información confidencial.

  • Utilice herramientas de prevención de pérdida de datos (DLP) basadas en la evaluación de riesgos.

Filtrado web:

  • Implemente el bloqueo de DNS e IP para restringir el acceso a sitios web riesgosos.

  • Bloquee sitios web con contenido malicioso o servidores de comando y control a menos que sea necesario para el negocio.

Separación de ambientes:

  • Segregar estrictamente los entornos de desarrollo, ensayo y producción.

  • No utilice datos confidenciales de clientes de producción en entornos de desarrollo o prueba sin aprobación.

Configuración de sistemas y redes:

  • Siga los estándares de configuración y refuerzo para mantener la seguridad del sistema y la red.

  • Revise las reglas de configuración de acceso a la red de producción anualmente.

Protección contra malware:

  • Implemente controles de detección, prevención y recuperación de malware.

  • Utilice software antimalware y de detección de amenazas en todos los puntos finales y correos electrónicos de la empresa.

Copia de seguridad de la información: Diseñe e implemente procesos de copia de seguridad para sistemas y datos, asegurando la recuperación de datos del cliente según los SLA.

Registro y monitoreo: Implemente el registro y la supervisión para detectar y responder a incidentes de seguridad.

Control del software operativo: Gestionar la instalación y el uso del software operativo de acuerdo con las reglas establecidas.

Inteligencia de amenazas: Recopile y analice las amenazas a la seguridad de la información para producir inteligencia procesable.

Gestión técnica de vulnerabilidades: Identificar, evaluar y abordar las vulnerabilidades técnicas de manera oportuna.

Restricciones en la instalación de software: Establezca reglas para la instalación de software para garantizar la seguridad y el cumplimiento.

Consideraciones de auditoría de sistemas de información: Planifique y acuerde los requisitos de auditoría para minimizar las interrupciones en los procesos comerciales.

Evaluación y requisitos de seguridad de los sistemas: Incluir requisitos de seguridad en la adquisición o cambios significativos en los sistemas.

Enmascaramiento de datos: Implemente técnicas de enmascaramiento de datos para proteger la PII y los datos confidenciales en función de la evaluación de riesgos.

9. Política de retención de datos

Propietario de la política: El CEO es responsable de la política de retención de datos.

Fecha de vigencia: La póliza entra en vigencia el 1 de marzo de 2024.

Propósito: Esta política describe cómo se almacenan, analizan y eliminan los datos dentro de Document360, lo que garantiza la transparencia y el control del usuario sobre la información retenida.

Ámbito: esta directiva se aplica a todos los clientes que utilizan Document360, incluidos los proyectos de bases de conocimiento públicos y privados.

Recopilación de datos:

  • Para sitios públicos: no se recopilan datos de nivel de usuario.

  • Para proyectos privados: Recopilamos datos a nivel de usuario, incluida la identidad del usuario que envía un mensaje, marcas de tiempo y otra información del usuario disponible en Document360.

Uso de datos: Document360 almacena todas las indicaciones/preguntas introducidas en el chatbot de Eddy AI para realizar los siguientes análisis:

  • Análisis temático: Agrupación de preguntas/indicaciones utilizando algoritmos internos y API de OpenAI.

  • Análisis de citas: Identificación de los artículos más citados.

  • Métricas: Mostrar métricas de profundidad y hacer un seguimiento de las preguntas respondidas frente a las no respondidas.

Personalización: Esta política no es personalizable por el cliente, pero los clientes tienen derecho a solicitar la eliminación de sus datos en cualquier momento durante el período del contrato.

Retención y eliminación de datos:

  • Todos los datos recopilados se conservan dentro de su proyecto de Document360.

  • Los datos se eliminan permanentemente cuando se elimina el proyecto de Knowledge Base.

  • Puede solicitar la eliminación de estos datos en cualquier momento durante su contrato con Document360.

Responsabilidad: El CEO es responsable de garantizar la implementación y el cumplimiento de esta política en todas las cuentas y proyectos de los clientes.

Privacidad de datos

Priorizamos su privacidad y nos aferramos a información estricta sobre las prácticas:

  • Cumplimiento de la privacidad de los datos: Hemos firmado un Acuerdo de Procesamiento de Datos (DPA) con OpenAI, que describe nuestro compromiso con la privacidad y la protección de los datos. Para obtener más información, consulte DPA con OpenAI.

  • Utilizamos los modelos ChatGPT-4.1 Mini y GPT-4o de OpenAI para impulsar Eddy AI, brindando rendimiento y capacidades de vanguardia.

  • Esta función se adhiere a las políticas de privacidad de OpenAI mediante el uso de una forma de integración de OpenAI.

  • Enviamos datos a OpenAI a través de sus API. Un extracto de la política dice: "OpenAI no utilizará los datos enviados por los clientes a través de nuestra API para entrenar modelos de OpenAI o mejorar las ofertas de servicios de OpenAI". Cualquier dato enviado a través de la API a OpenAI se conservará con fines analíticos durante un máximo de 30 días, después de lo cual se eliminará.

NOTA

Leer el completo OpenAI API data usage policies.

Si tiene alguna pregunta sobre la política de datos de Document360, lea nuestra Privacy policy.

OWASP

El Open Worldwide Application Security Project (OWASP) es una organización sin fines de lucro reconocida a nivel mundial dedicada a mejorar la seguridad del software. OWASP proporciona recursos, herramientas y proyectos gratuitos de código abierto impulsados por la comunidad que ayudan a las organizaciones a identificar, administrar y mitigar los riesgos de seguridad. Una de sus iniciativas más conocidas es la publicación de listas de los "10 principales" que destacan las vulnerabilidades de seguridad más críticas en diversos dominios.

Las 10 principales amenazas de OWASP para aplicaciones de modelos de lenguaje grandes (LLM)

A medida que evolucionan las tecnologías de IA, OWASP ha ampliado su experiencia a las aplicaciones de modelos de lenguaje grande, identificando los 10 principales riesgos de seguridad exclusivos de estos sistemas:

1. Inyección rápida: entradas maliciosas diseñadas para manipular o secuestrar el comportamiento de respuesta del LLM.

2. Manejo de salida inseguro: falla en desinfectar o validar adecuadamente las salidas de LLM, lo que lleva a vulnerabilidades de seguridad posteriores.

3. Envenenamiento de datos de entrenamiento: Corromper conjuntos de datos de entrenamiento para sabotear o controlar de forma encubierta el comportamiento del modelo.

4. Denegación de servicio del modelo: Intenta agotar los recursos computacionales de LLM, lo que provoca tiempo de inactividad o rendimiento degradado.

5. Vulnerabilidades de la cadena de suministro: Riesgo introducido a través de conjuntos de datos de terceros, modelos preentrenados o complementos.

6. Divulgación de información confidencial: Filtración involuntaria de datos confidenciales o personales en los resultados del modelo.

7. Diseño de complementos inseguro: Complementos que carecen de validación adecuada o controles de acceso, exponiendo superficies de ataque.

8. Agencia excesiva: Exceso de poder de los LLM, lo que posiblemente conduzca a acciones autónomas no deseadas o dañinas.

9. Exceso de confianza: Confianza ciega en los resultados de LLM sin validación humana, arriesgándose a desinformación o malas decisiones.

10. Robo de modelos: Replicación o extracción no autorizada de modelos LLM propietarios.

Abordando las 10 principales amenazas clave de OWASP para Ask Eddy

Dentro del servicio impulsado por IA de Ask Eddy, varias amenazas OWASP LLM se priorizan y abordan con controles específicos:

  • LLM01: Inyección rápida

    Validamos las entradas antes de pasarlas para su posterior procesamiento. Aislamos el contexto de las indicaciones. Además, las instrucciones de nuestros sistemas se fortalecen para abordar los ataques de inyección rápida. Eddy AI solo producirá una respuesta basada en el contenido de su base de conocimientos. Utilizamos la API de moderación para detectar y marcar avisos maliciosos.

  • LLM04: Envenenamiento de datos y modelos (incrustaciones)

    No tenemos LLM por nuestra cuenta. Confiamos en las API de OpenAI para crear incrustaciones de texto. Basado en el DPA que ejecutamos con OpenAI, OpenAI emplea técnicas sólidas contra el envenenamiento de datos y modelos.

  • LLM05: Manejo de salida inadecuado

    No utilizamos llamadas de herramientas en nuestra arquitectura. Todos los datos se almacenan de forma segura en el clúster de MongoDB según nuestras prácticas de cumplimiento de SOC II y GDPR. Utilizamos cifrado de última generación para proteger los datos en reposo y en tránsito.

  • LLM08: Debilidades vectoriales y de incrustación

    Utilizamos las API de OpenAI para incrustaciones y almacenamos de forma segura en su contenido. Creamos incrustaciones basadas en el contenido de su base de conocimientos. Por lo tanto, las incrustaciones no pueden ser manipuladas ni envenenadas por fuentes de contenido externas. Cuando se actualiza o modifica el contenido, también se actualizan las incrustaciones de texto correspondientes.

  • LLM09: Desinformación

    Contamos con estrictas instrucciones del sistema para evitar probar información falsa. Si LLM decide que no puede producir una respuesta segura, dirá "No lo sé". Usamos el último modelo GPT 4.1 mini que es menos propenso a las alucinaciones.

Procesos y responsabilidad para el monitoreo continuo

Para gestionar eficazmente estos riesgos, Ask Eddy emplea las siguientes estructuras de gobernanza y monitoreo:

  • Detección automatizada de amenazas: sistemas de monitoreo en tiempo real que marcan patrones de entrada inusuales o comportamientos sospechosos del modelo.

  • Registros de auditoría: Registro completo de interacciones de entrada-salida para análisis forense y verificación de cumplimiento.

  • Protocolos de respuesta a incidentes: Flujos de trabajo definidos para la contención, evaluación y corrección rápidas de eventos de seguridad.

  • Alineación de cumplimiento: auditorías y actualizaciones periódicas alineadas con marcos como SOC 2, GDPR.

Al integrar estos principios de seguridad y mejores prácticas, Ask Eddy garantiza un servicio de IA resistente y confiable alineado con las recomendaciones de OWASP.

Compromiso con la seguridad y las mejores prácticas de OWASP

Document360 prioriza la seguridad como un aspecto fundamental de su plataforma de gestión del conocimiento. Reconociendo a OWASP como la autoridad mundial en seguridad de software, Document360 alinea sus prácticas y orientación de seguridad con los estándares ampliamente adoptados por OWASP, incluidos los 10 principales riesgos de seguridad de aplicaciones de OWASP y el emergente OWASP LLM Top 10 para aplicaciones impulsadas por IA.

Integración de los principios de OWASP

Document360 incorpora los principios de OWASP al:

  • Incorporar las mejores prácticas de codificación segura y validación de entrada inspiradas en las pautas de OWASP en su ciclo de vida de desarrollo.

  • Garantizar que las vulnerabilidades comunes destacadas por OWASP, como fallas de inyección y referencias directas de objetos inseguras, se mitiguen a través de una arquitectura de plataforma sólida.

  • Aprovechar los marcos de riesgo específicos de IA y LLM de OWASP para salvaguardar las integraciones y las funciones impulsadas por IA dentro de Document360.

  • Proporciona acceso seguro a la API con tokens autenticados, protegiendo el flujo de datos de acuerdo con los controles recomendados por OWASP.

Alineación con los estándares de seguridad de la industria

Document360 complementa el enfoque de seguridad de OWASP al adherirse a marcos y certificaciones adicionales:

  • Alojamiento en la plataforma Microsoft Azure Cloud con protecciones de seguridad avanzadas que incluyen defensa DDoS y almacenamiento de datos cifrados.

  • Cumplimiento de GDPR, SOC 2 Tipo II y otras regulaciones y estándares relevantes.

  • Monitoreo continuo y detección automatizada de amenazas alineados con las recomendaciones de registro y monitoreo de seguridad de OWASP.

Obtenga más información sobre OWASP y cómo la estrategia de seguridad de Document360 se alinea con las prácticas recomendadas:

Preguntas más frecuentes

¿Document360 implica alguna función de IA generativa o modelo de lenguaje grande (LLM)?

Sí, Eddy AI, una función de Document360, utiliza LLM de terceros como OpenAI e IA generativa para mejorar la experiencia del usuario. Aprovecha los modelos lingüísticos avanzados para proporcionar asistencia inteligente y generación de contenido.

¿Podemos optar por no entrenar a IA/LLM de terceros en nuestros datos?

Sí, los datos de los clientes no se utilizan para entrenar modelos de IA/LLM. Eddy AI utiliza la tecnología de OpenAI, pero según la política de privacidad de OpenAI y nuestro acuerdo con ellos, los datos enviados a través de su sistema no se utilizan para el entrenamiento de IA.

Enviamos datos a OpenAI a través de su API. Como se indica en su política: "OpenAI no utilizará los datos enviados por los clientes a través de nuestra API para entrenar modelos de OpenAI o mejorar las ofertas de servicios de OpenAI". Sin embargo, OpenAI puede retener los datos hasta por 30 días con fines de análisis y cumplimiento, después de lo cual se eliminan permanentemente.

¿Eddy AI se basa en la misma infraestructura que Document360?

Sí, Eddy AI se ejecuta en la misma infraestructura segura y confiable que Document360. Esto garantiza un rendimiento constante y el cumplimiento de nuestros estándares.

¿En qué países y regiones se alojan estas tecnologías/plataformas/modelos de IA?

Las tecnologías/plataformas/modelos de IA están alojados en la región de la Unión Europea (UE).

¿Cómo garantiza Document360 que no se acceda a mis datos ni se filtren a otros clientes? ¿Qué garantía de seguridad está aprobada?

Document360 cumple con SOC II y se adhiere a las mejores prácticas de ingeniería estándar de la industria para garantizar el aislamiento y la protección de datos. Se implementan sólidas medidas de seguridad para evitar el acceso no autorizado, lo que garantiza que sus datos permanezcan seguros e inaccesibles para otros clientes. Para obtener más detalles, consulte nuestras prácticas de seguridad.

¿Cómo garantiza Document360 que no se ingieran datos de clientes no específicos?

Document360 se adhiere estrictamente al RGPD y a la Ley de IA de la UE. Nuestros procesos internos y prácticas de manejo de datos están diseñados para alinearse con todos los requisitos legales y de cumplimiento relevantes, asegurando que solo se procesen los elementos de datos previstos y autorizados. Los datos de clientes no dirigidos se excluyen explícitamente de la ingesta.

¿Qué es el SLA de tiempo de actividad y es compatible con todos los subprocesadores y terceros?

Document360 mantiene un SLA de tiempo de actividad del 99,99 %, que es totalmente compatible con todos los subprocesadores relevantes y proveedores de servicios externos involucrados en la prestación de nuestros servicios.

¿Qué controles existen para detectar y prevenir errores?

Registramos todos los resultados y respuestas generados por Eddy AI. Además, estamos en el proceso de integrar herramientas de observabilidad de LLM para mejorar las capacidades de monitoreo y prevención de errores.

¿Cuál es el margen de error esperado para las respuestas de Eddy AI? ¿Cómo se supervisa y mide el cumplimiento del margen de error permitido?

Según nuestras pruebas internas, Eddy AI demuestra una tasa de precisión del 96 al 98 % al responder a las consultas de los usuarios. Estamos integrando activamente herramientas de observabilidad de LLM y utilizamos marcos de evaluación como OpenAI Evals, RAGAS y métricas de GeneralQA para evaluar el rendimiento y la precisión con respecto a puntos de referencia definidos.

¿Se ha evaluado el producto en cuanto a sesgos, toxicidad o contenido dañino, como amenazas, blasfemias o polaridad política?

Sí, utilizamos las API de moderación de OpenAI para evaluar las respuestas de contenido dañino. Si se marca una respuesta, Eddy AI evitará generar la respuesta.

¿Cómo se gestiona el riesgo de alucinación de IA en Eddy AI?

Document360 tiene una estrategia de mitigación de riesgos de IA. Eddy AI está estrictamente restringido al contenido de su base de conocimientos. Las indicaciones de nuestro sistema guían a la IA para evitar generar respuestas no respaldadas o inventadas. Si Eddy AI no está seguro o no puede citar una fuente confiable, responderá con "No lo sé".

¿Son explicables las decisiones de IA y hay supervisión humana en el proceso?

Sí, todas las respuestas generadas por IA de Eddy AI incluyen citas en línea, lo que permite a los usuarios finales ver claramente la fuente de la información y comprender cómo se genera la respuesta. Además, seguimos un enfoque humano en el circuito como parte de nuestra gobernanza de IA. Si bien Eddy AI puede ayudar con las recomendaciones, las decisiones finales se dejan en manos de los humanos, lo que garantiza la supervisión y la rendición de cuentas.

¿Cómo se asegura de que los datos sensibles o confidenciales no estén expuestos a otros clientes?

Tenemos un DPA firmado con OpenAI que establece que los datos no se utilizarán para entrenamiento ni se compartirán con otros. Cumplimos con SOC2 Tipo II y GDPR. Los datos compartidos con AI se limitan a los permisos de acceso del usuario individual y no a todo el proyecto.

¿Cómo se mantiene la confidencialidad de mis datos y hay revisores humanos involucrados en su procesamiento?

Todos los datos del proyecto se cifran en reposo y todos los datos enviados al modelo de IA se cifran en tránsito. Utilizamos cifrado AES de 256 bits para datos en reposo y HTTPS con TLS 1.2 para datos en tránsito. Ningún revisor humano lee, anota o procesa sus datos, y no capacitamos a nuestros propios LLM.

¿Los datos se anonimizan antes de ser procesados por los modelos de IA?

Sí, ejecutamos procesos internos para detectar cualquier información de identificación personal (PII). Si se detecta PII, se enmascara y se reemplaza con marcadores de posición antes de enviar los datos a cualquier modelo de terceros.

¿Cómo se garantiza la transparencia y se identifican los sesgos? ¿Cómo generan respuestas los modelos de IA?

Utilizamos los LLM de OpenAI y confiamos en sus cuadros de mando e informes para la transparencia. Seguimos las mejores prácticas de equipo rojo para identificar sesgos y probar periódicamente la desviación del modelo. Para generar respuestas, utilizamos un enfoque de Generación Aumentada de Recuperación (RAG), donde el contexto se recupera de nuestra base de conocimientos y se envía al LLM.

¿Qué pasos se toman para garantizar la confiabilidad y el rendimiento de sus modelos de IA?

Ofrecemos un SLA de tiempo de actividad del 99,96% y estamos trabajando en la integración de un proveedor de LLM de respaldo. Monitoreamos regularmente las anomalías utilizando prácticas de equipo rojo, pruebas de deriva del modelo y evaluaciones que rastrean parámetros como la precisión y la recuperación del contexto. Si se detecta un comportamiento indeseable, investigamos la causa raíz y podemos ajustar las indicaciones del sistema, actualizar a un nuevo LLM o sugerir cambios de contenido a los clientes.

¿Cómo administra las actualizaciones del modelo y garantiza el rendimiento continuo?

Realizamos evaluaciones periódicas para supervisar el rendimiento y la desviación del modelo. En función de los resultados, actualizamos nuestros sistemas y adoptamos LLM más nuevos para mejorar el rendimiento y la precisión.

Artículos relacionados