Esta página se muestra en inglés mientras se prepara una traducción revisada para su idioma.
Cómo concebimos la seguridad de la información por capas en Perspectis AI
Una perspectiva sencilla de Perspectis AI sobre la defensa en profundidad: acceso granular, límites éticos, minimización, monitorización, IA dentro de los mismos límites y un enfoque honesto sobre la certificación frente al diseño del producto.
Guía en lenguaje sencillo para líderes, clientes y equipos (abril de 2026)
La respuesta breve
Las organizaciones profesionales serias no triunfan con un solo control de seguridad. Consideramos la seguridad de la información como una defensa en profundidad: varios mecanismos independientes que se refuerzan mutuamente —opciones de acceso, jerarquía de políticas, barreras éticas, gestión de la confidencialidad, tratamiento cuidadoso de la información personal identificable, perímetros de red reforzados, monitorización y auditabilidad— de modo que si una capa falla o se vulnera, las demás limitan el daño.
Esta nota explica cómo abordamos esta postura con las partes interesadas no técnicas. No se trata de un certificado, una opinión de auditoría ni un catálogo exhaustivo de controles. Los resultados formales, como la certificación de gestión de la seguridad de la información, los informes de confianza independientes y las conclusiones legales específicas de los reguladores, dependen de cómo se implementa Perspectis AI, qué subprocesadores están incluidos y qué evidencia mantiene el cliente con sus auditores y asesores legales.
Por qué el modelo mental de “múltiples capas” es el adecuado
Una imagen útil es la de un campus de investigación con diferentes niveles de acceso: credenciales en la entrada, laboratorios cerrados con llave, normas sobre lo que puede salir del edificio, cámaras donde sea necesario y equipos separados que no pueden intercambiar información cuando la política lo prohíbe. Ninguna medida por sí sola lo resuelve todo; la combinación es lo que crea resiliencia.
Ese es el espíritu de Perspectis AI: controles por capas alineados con el funcionamiento real de las organizaciones reguladas y sensibles a la reputación, no una promesa de que una sola función elimine el riesgo.
Capa 1: Qué puede ver y hacer la plataforma (acceso granular)
Las organizaciones difieren en el grado de automatización que desean para el correo electrónico, los calendarios, los documentos y canales relacionados. Nosotros admitimos patrones de acceso granular para que los equipos puedan elegir, en términos sencillos:
-
Sin acceso: la plataforma no accede a ese canal para tareas importantes. - Acceso centrado en metadatos: contexto suficiente para coordinar el trabajo (por ejemplo, señales de sincronización y enrutamiento) sin extraer el contenido completo de los mensajes cuando la política lo prohíbe.
-
Acceso al contenido: donde la política y los contratos permiten una asistencia más completa.
Interruptores adicionales rigen si se permite el procesamiento del lenguaje natural, funciones de análisis más profundas, el intercambio entre productos y capacidades similares para cada organización. Lo denominamos una superficie controlada por políticas: el mismo producto puede ser más estricto o más permisivo según las preferencias del cliente y las normas profesionales.
--
Capa 2: Cuando dos políticas discrepan (jerarquía clara)
En las empresas reales, existen normas en muchos niveles: estándares para toda la empresa, requisitos específicos del cliente, restricciones específicas del asunto. Estas normas pueden entrar en conflicto. Implementamos patrones de preeminencia para que el resultado efectivo sea predecible: a veces prevalece la norma más estricta, a veces una autoridad superior limita lo que los niveles inferiores pueden permitir, y a veces las políticas convergen hacia el resultado efectivo más seguro cuando se aplican varias normas simultáneamente.
La previsibilidad es tan importante como la rigurosidad. Las barreras éticas (barreras de información) solo funcionan cuando las personas —y los sistemas— saben qué regla rige una solicitud determinada.
--
Capa 3 — Barreras éticas y deberes de separación
Las barreras éticas son el concepto profesional que establece que ciertas personas, equipos o flujos de trabajo asistidos por IA no deben ver ni combinar información específica. Nosotros consideramos las barreras como una separación obligatoria, no como un ejercicio de entrenamiento para el modelo. Las barreras se evalúan con una semántica que facilita las auditorías, por lo que la advertencia de «no cruzar esta línea» es una preocupación de la plataforma, no una expectativa implícita en una solicitud.
Esto es especialmente relevante cuando los niveles de confidencialidad (público, interno, altamente sensible y otras gradaciones similares utilizadas en la práctica profesional) deben fluir de manera consistente a través de los flujos de trabajo.
Capa 4 — Información de identificación personal y minimización
La información de identificación personal (IIP) es cualquier dato que pueda identificar a una persona, directa o indirectamente. Invertimos en la detección y el saneamiento de datos en las rutas compatibles, por lo que muchos artefactos almacenan representaciones anonimizadas o cifradas cuando corresponde. Sin embargo, somos transparentes: la seguridad en profundidad también se basa en el AIslamiento de inquilinos, los controles de acceso y el cifrado. No todos los campos de cada flujo de trabajo pasan por el mismo proceso de saneamiento; evitamos afirmaciones de marketing que las evaluaciones de ingeniería internas no respaldarían.
El objetivo del diseño es la minimización: reducir la huella digital sensible innecesaria, mantener registros profesionales cuando la función del producto lo requiera y restringir el análisis profundo mediante las mismas políticas de acceso y seguridad descritas anteriormente.
Capa 5: El borde de la aplicación y la monitorización operativa
Los sistemas de cara al cliente se benefician de prácticas disciplinadas de HTTP en el borde: encabezados orientados a la seguridad, reglas de integración del navegador cuidadosamente restringidas y superficies operativas para monitorizar tipos de abuso, como los intentos de inyección de mensajes contra rutas controladas. También invertimos en patrones de observabilidad (métricas, alarmas, registros estructurados) para que los operadores puedan detectar anomalías y responder, entendiendo que los paneles y umbrales exactos son específicos de cada implementación.
--
Capa 6: Trabajo asistido por IA dentro de los mismos límites
Las funcionalidades de Representante de Agente Personal y Asistente Personal Ejecutivo no constituyen un entorno completamente independiente. Los mismos principios de acceso, seguridad, confidencialidad y intervención humana que se aplican en otros ámbitos también se aplican a las acciones asistidas: aprobaciones en situaciones críticas, registros duraderos donde la continuidad es fundamental y la certeza absoluta de que una redacción ingeniosa puede anular los permisos.
El Entorno de Demostración de IA de Perspectis es donde hacemos que esta historia sea tangible: escenarios integrales que muestran cómo la asistencia se integra dentro de los controles profesionales, no al margen de ellos.
--
Lenguaje de cumplimiento que utilizamos cuidadosamente
Los interesados suelen preguntar cómo se relaciona esto con marcos de referencia conocidos. Alineamos el trabajo de producto e ingeniería con temas comunes (por ejemplo, temas del anexo internacional de gestión de la seguridad de la información, criterios de servicio de confianza utilizados en informes de garantía independientes, expectativas europeas de ingeniería de la privacidad y patrones de salvaguardias similares a los del sector sanitario cuando las implementaciones se dirigen a dichos regímenes). Dejamos claro que el mapeo no es lo mismo que la certificación: los auditores emiten opiniones sobre organizaciones y límites de producción, no sobre una instantánea del repositorio de origen.
| Tema | Lo que la postura del producto puede afirmar con honestidad | Lo que sigue siendo trabajo del cliente y del auditor |
| --- | --- | --- |
| Certificación y atestación | Sólida alineación del diseño y documentación que facilita la diligencia | Certificados formales, sistemas incluidos en el alcance, políticas, evidencia operativa |
| Cifrado | Patrones estándar de la industria para datos en tránsito y en reposo cuando están configurados correctamente | Gestión de claves, rotación y opciones de infraestructura por implementación |
| Uso para capacitación | Separación arquitectónica entre las cargas de trabajo del cliente y los patrones de capacitación de modelos propiedad de Perspectis; los proveedores de modelos de terceros siguen rigiéndose por sus términos y las elecciones del cliente | Revisión por parte del cliente de los subprocesadores, los acuerdos de procesamiento de datos y los modos de retención |
| Supervisión de la IA | Interacción humana, registros de auditoría, gobernanza de herramientas y rutas con reconocimiento de barreras (donde se implementan) | Conclusiones específicas de la empresa sobre privilegios, ética y legislación local |
--
Límites honestos (porque la credibilidad también es un control)
Nosotros señalamos claramente algunos límites:
-
No existe la “seguridad perfecta”. Cualquier sistema real puede tener defectos, configuraciones incorrectas o ataques novedosos.
-
La garantía es un trabajo conjunto. Los clientes deben operar la identidad, los dispositivos y los procesos comerciales de acuerdo con su propia tolerancia al riesgo.
-
Las puntuaciones y monitores de las utilidades de validación interna son señales operativas, no calificaciones de marketing permanentes; la postura criptográfica evoluciona con los estándares y las opciones de infraestructura.
Fuentes (referencias públicas de los marcos de trabajo, no afirmaciones sobre productos)
- Instituto Nacional de Estándares y Tecnología (NIST): Marco de Ciberseguridad
- Organización Internacional de Normalización (ISO): ISO/IEC 27001 — Gestión de la seguridad de la información
- Instituto Americano de Contadores Públicos Certificados (AICPA): Descripción general de los Criterios de Servicios de Confianza (SOC)
- Instituto Nacional de Estándares y Tecnología (NIST): Marco de Gestión de Riesgos de Inteligencia Artificial (AI RMF 1.0)
*Este documento está dirigido a lectores externos no técnicos. Nosotros mantenemos evaluaciones técnicas autorizadas y referencias de implementación para la debida diligencia del cliente, bajo la confidencialidad adecuada. *