Ruta AIF-C01Dominio 5 · Seguridad y gobernanzaCumplimiento y gobernanza para soluciones de IA

Cumplimiento y gobernanza para soluciones de IA

Gobernanza de IA, cumplimiento, linaje de datos, auditoría, políticas, documentación, retención, privacidad y responsabilidad compartida.

Preparación1
Dominio 12
Dominio 23
Dominio 34
Dominio 45
Dominio 56
Selector de módulo
Preparación
Curso AWS Certified AI Practitioner AIF-C01 Estrategia de examen AWS AIF-C01
Dominio 1 · Fundamentos IA/ML
Dominio 1 · Fundamentos de IA y ML Conceptos básicos de IA, ML y deep learning Casos de uso de IA y servicios administrados de AWS Ciclo de vida del desarrollo de machine learning
Dominio 2 · IA generativa
Dominio 2 · Fundamentos de IA generativa Conceptos clave de IA generativa Capacidades y limitaciones de la IA generativa Servicios de AWS para crear aplicaciones de IA generativa
Dominio 3 · Modelos fundacionales
Dominio 3 · Aplicaciones de modelos fundacionales Diseño de aplicaciones con modelos fundacionales RAG, embeddings y bases vectoriales en AWS Ingeniería de peticiones efectiva Entrenamiento y ajuste de modelos fundacionales Evaluación del rendimiento de modelos fundacionales
Dominio 4 · IA responsable
Dominio 4 · Directrices de IA responsable Desarrollo de sistemas de IA responsables Transparencia y explicabilidad en modelos de IA
Dominio 5 · Seguridad y gobernanza
Dominio 5 · Seguridad, cumplimiento y gobernanza para IA Seguridad en sistemas de IA Cumplimiento y gobernanza para soluciones de IA
Dominio 5 · Seguridad y gobernanza

Cumplimiento y gobernanza para soluciones de IA

◷ 36 min

La gobernanza de IA define cómo una organización decide, controla, documenta, audita y mejora sus soluciones de inteligencia artificial. El cumplimiento se centra en demostrar que esas soluciones respetan políticas internas, requisitos legales, privacidad, seguridad, retención de datos y responsabilidades operativas. Para el examen AWS Certified AI Practitioner AIF-C01, debes entender que no basta con desplegar un modelo que funcione: también hay que poder explicar qué datos usa, quién tiene acceso, qué controles existen, cómo se registran las decisiones y cómo se revisan los riesgos.

Gobernanza Cumplimiento Linaje de datos Auditoría Retención Model Cards Políticas Responsabilidad compartida
Pista de examen: si una pregunta habla de auditorías, trazabilidad, políticas internas, documentación, linaje, retención, privacidad, aprobación de modelos o evidencias para cumplimiento, normalmente no basta con cifrar o proteger permisos. La respuesta debe incluir gobierno, documentación, controles, registros y revisión continua.

1. Qué significa gobernar una solución de IA

Gobernar IA significa establecer reglas claras sobre cómo se diseñan, aprueban, operan y revisan los sistemas de IA. En una solución tradicional puedes auditar usuarios, bases de datos, APIs y logs. En IA, además, debes controlar elementos adicionales: datasets, modelos, prompts, versiones, parámetros de inferencia, fuentes documentales, evaluaciones, guardrails, salidas generadas y posibles impactos sobre usuarios.

Gobernanza de datos

Define origen, calidad, clasificación, permisos, retención, linaje y uso permitido de los datos empleados por la solución.

Gobernanza de modelos

Controla qué modelo se usa, por qué se ha elegido, qué limitaciones tiene, qué versiones existen y cómo se evalúa su rendimiento.

Gobernanza de prompts y contexto

Documenta instrucciones, plantillas, fuentes RAG, cambios de prompt, parámetros y controles aplicados a entradas y salidas.

Gobernanza operativa

Incluye monitorización, auditoría, propietarios, revisión humana, gestión de incidentes, cumplimiento y mejora continua.

2. Diferencia entre seguridad, cumplimiento y gobernanza

Estos conceptos están relacionados, pero no significan exactamente lo mismo. En el examen pueden aparecer juntos en escenarios de IA empresarial.

ConceptoQué respondeEjemplo en IA
Seguridad¿Cómo protegemos datos, modelos, accesos, prompts, endpoints y salidas?IAM con mínimo privilegio, cifrado con AWS KMS, PrivateLink, control de acceso en RAG y logs seguros.
Cumplimiento¿Cómo demostramos que se cumplen políticas, normativas y requisitos internos?Retención de registros, auditoría, clasificación de datos, aprobación de modelos y evidencias para revisiones.
Gobernanza¿Cómo se toman decisiones, se asignan responsabilidades y se controla el ciclo de vida?Catálogo de datos, linaje, Model Cards, revisión de riesgos, responsables de modelo y proceso de cambios.

3. Requisitos típicos de cumplimiento en sistemas de IA

El examen no suele pedir memorizar leyes concretas, sino reconocer necesidades de cumplimiento. Una empresa puede tener requisitos de privacidad, auditoría, retención, seguridad, explicabilidad o revisión humana. La clave es identificar qué control reduce el riesgo del escenario.

  • Privacidad: limitar el uso de datos personales, aplicar minimización, anonimización o enmascaramiento cuando corresponda.
  • Auditoría: registrar quién accede, qué acciones realiza, qué modelos o prompts se usan y cuándo se producen cambios.
  • Retención: definir cuánto tiempo se guardan prompts, respuestas, logs, datasets, evaluaciones y evidencias.
  • Explicabilidad: documentar el propósito del modelo, sus limitaciones, fuentes utilizadas y criterios de decisión.
  • Control de cambios: revisar nuevas versiones de modelos, prompts, fuentes RAG y guardrails antes de producción.
  • Responsabilidad: definir propietarios técnicos, propietarios de negocio y responsables de aprobación.
Idea clave: cumplimiento no significa únicamente “tener logs”. Los logs ayudan, pero también necesitas políticas, responsables, evidencias, documentación, controles de acceso, clasificación de datos y revisiones periódicas.

4. Linaje de datos: saber de dónde vienen los datos

El linaje de datos permite entender el recorrido de los datos desde su origen hasta su uso en una aplicación de IA. En IA esto es crítico porque la calidad, legalidad y representatividad de los datos afectan directamente a la salida del modelo.

Escenario típico de examen: una empresa necesita demostrar qué datos se usaron para entrenar, ajustar o alimentar una aplicación de IA. La respuesta correcta suele apuntar a documentar origen de datos, mantener linaje, catalogación, versionado y evidencias, no solo a proteger el endpoint.
ElementoQué debe documentarsePor qué importa
OrigenFuente de los datos, propietario, sistema origen y permisos de uso.Ayuda a demostrar uso autorizado y trazabilidad.
TransformacionesLimpieza, normalización, anonimización, filtrado o enriquecimiento.Permite explicar cómo se prepararon los datos.
VersionesFecha, versión del dataset, versión del índice vectorial o base de conocimiento.Permite reproducir evaluaciones y resolver incidencias.
ClasificaciónDatos públicos, internos, confidenciales, personales o regulados.Determina controles de acceso, retención y cifrado.

5. Catálogo de datos y documentación

Un catálogo ayuda a descubrir, clasificar y gobernar datos. Para IA, la catalogación facilita saber qué datasets existen, quién los mantiene, qué calidad tienen, qué restricciones aplican y si pueden usarse en un caso de uso concreto. No todos los datos disponibles son adecuados para IA.

En escenarios de examen, si la organización necesita controlar datos a escala, encontrar propietarios, documentar orígenes o aplicar políticas, piensa en gobierno de datos, catalogación y linaje. Si además se mencionan datos sensibles, entran servicios de clasificación y controles de privacidad.

6. Model Cards: documentación del modelo

Las tarjetas de modelo ayudan a documentar información relevante sobre un modelo: propósito, propietario, datos utilizados, métricas, limitaciones, riesgos conocidos, casos de uso previstos y casos donde no debería utilizarse. Para AIF-C01, debes asociar Amazon SageMaker Model Cards con documentación, gobierno y transparencia de modelos.

Sección de una Model CardQué aportaValor para cumplimiento
Propósito del modeloDescribe para qué se diseñó el modelo.Evita usos no autorizados o fuera de alcance.
Datos y entrenamientoResume origen de datos, preparación y limitaciones.Mejora trazabilidad y revisión.
Métricas y evaluaciónDocumenta rendimiento, pruebas y resultados.Aporta evidencias para auditoría.
Riesgos y limitacionesIndica sesgos, restricciones y condiciones de uso.Ayuda a gestionar riesgo responsablemente.

7. Auditoría: CloudTrail, CloudWatch y evidencias

La auditoría permite reconstruir qué ha pasado en una solución. En IA, esto puede incluir llamadas a APIs, cambios en modelos, acceso a datos, uso de claves, eventos de infraestructura, errores, métricas y actividad de usuarios o aplicaciones.

AWS CloudTrail

Registra llamadas de API y actividad de cuenta. Es clave para saber quién hizo qué, cuándo y desde dónde.

Amazon CloudWatch

Permite monitorizar métricas, logs, alarmas y comportamiento operativo de la solución.

AWS Config

Ayuda a evaluar configuración de recursos y cambios frente a reglas o políticas definidas.

AWS Audit Manager

Ayuda a recopilar evidencias para auditorías y marcos de cumplimiento.

Para el examen, si el objetivo es saber quién realizó una acción en AWS, CloudTrail suele ser la pista principal. Si se trata de métricas, logs de aplicación y alarmas operativas, piensa en CloudWatch. Si se pregunta por conformidad de configuración, piensa en Config o controles de gobierno.

8. Retención de datos, prompts y respuestas

Una aplicación de IA puede generar mucha información: prompts de usuario, respuestas del modelo, documentos recuperados, trazas de agentes, métricas, evaluaciones, logs y feedback humano. La gobernanza debe definir qué se conserva, durante cuánto tiempo, con qué permisos y con qué finalidad.

  • No guardar todo por defecto: puede aumentar riesgo de privacidad y coste.
  • No borrar todo sin criterio: puede impedir auditoría, análisis de incidentes o cumplimiento.
  • Aplicar clasificación: no todos los logs tienen el mismo nivel de sensibilidad.
  • Definir propietarios: negocio, seguridad, legal y tecnología deben conocer sus responsabilidades.
Error frecuente: registrar prompts y respuestas sin revisar si contienen datos personales, secretos o información confidencial. La observabilidad es importante, pero debe diseñarse con privacidad y seguridad.

9. Privacidad y minimización de datos

La minimización consiste en usar solo los datos necesarios para cumplir el propósito del sistema. En IA generativa es muy habitual enviar más contexto del necesario al modelo, especialmente en aplicaciones RAG. Eso puede elevar coste y también riesgo de exposición de información.

1Clasificar datos antes de usarlos. Identifica datos personales, confidenciales, regulados o de propiedad intelectual.
2Reducir el contexto enviado al modelo. Recupera solo los fragmentos necesarios y autorizados.
3Controlar logs y trazas. Evita almacenar información sensible sin necesidad o sin protección.
4Aplicar cifrado y permisos. Usa controles técnicos para proteger datos en reposo y en tránsito.

10. Gobierno de prompts y plantillas

Los prompts no son simples textos: forman parte del comportamiento de la aplicación. Una modificación aparentemente pequeña puede cambiar tono, precisión, restricciones, exposición de datos o cumplimiento de políticas. Por eso los prompts importantes deben versionarse y revisarse.

Elemento del promptRiesgoControl recomendado
Instrucciones del sistemaDefinen comportamiento crítico.Control de versiones, revisión y permisos restringidos.
Contexto RAGPuede incluir información sensible.Filtrado por permisos antes de recuperación y citación de fuentes.
PlantillasErrores repetidos afectan a todos los usuarios.Pruebas, aprobación y rollback.
ParámetrosCambian variabilidad, coste y longitud de salida.Definir límites y criterios por caso de uso.

11. Políticas internas y proceso de aprobación

Una organización madura no deja que cualquier equipo despliegue IA con cualquier dato o modelo. Debe existir un proceso para aprobar casos de uso, revisar riesgos, definir propietarios y establecer controles mínimos antes de producción.

Escenario típico: una empresa quiere permitir a varios departamentos crear asistentes generativos. La respuesta más completa no será “dar acceso a Bedrock a todos”, sino establecer gobierno: cuentas, permisos, políticas, guardrails, revisión de datos, auditoría, modelos aprobados y proceso de publicación.

12. Cumplimiento en RAG y conocimiento corporativo

RAG puede mejorar precisión y reducir alucinaciones, pero también introduce requisitos de gobernanza: documentos, permisos, fuentes, versiones, sincronización, citación y control de acceso. No basta con indexar toda la documentación de una empresa.

  • Los usuarios solo deben recuperar documentos que están autorizados a consultar.
  • Las fuentes deben estar actualizadas y tener propietario.
  • Debe existir proceso para retirar documentos obsoletos o no aprobados.
  • Las respuestas deberían poder citar fuentes cuando el caso requiere trazabilidad.
  • Los índices vectoriales deben protegerse como cualquier otro repositorio de información sensible.

13. Responsabilidad compartida aplicada a IA

El modelo de responsabilidad compartida sigue siendo importante en IA. AWS protege la infraestructura de la nube; el cliente sigue siendo responsable de cómo configura servicios, permisos, datos, políticas, prompts, modelos elegidos, uso de outputs y cumplimiento aplicable a su negocio.

ResponsabilidadAWSCliente
Infraestructura cloudSeguridad de centros de datos, hardware y servicios administrados.Elegir regiones, configurar servicios, redes, permisos y cifrado.
DatosServicios para proteger, cifrar, clasificar y auditar.Clasificar datos, definir uso permitido, controlar acceso y retención.
Aplicación IACapacidades como Bedrock, Guardrails, CloudTrail y controles de seguridad.Diseñar prompts, seleccionar modelos, aplicar guardrails, evaluar salidas y cumplir políticas.
CumplimientoInformación, servicios y evidencias de AWS aplicables.Interpretar requisitos del negocio, configurar controles y demostrar cumplimiento.

14. Servicios AWS que debes asociar con gobernanza y cumplimiento

ServicioUso principalPista de examen
Amazon SageMaker Model CardsDocumentar propósito, métricas, riesgos y detalles de modelos.Si el escenario habla de documentación formal del modelo.
AWS CloudTrailAuditar llamadas de API y actividad de cuenta.Si se pregunta quién hizo qué y cuándo.
Amazon CloudWatchLogs, métricas, alarmas y observabilidad operativa.Si se trata de monitorizar comportamiento y errores.
AWS ConfigEvaluar configuración y cambios en recursos.Si se necesita comprobar conformidad de configuración.
Amazon MacieDescubrir y clasificar datos sensibles en S3.Si se mencionan PII o datos sensibles en buckets.
AWS KMSGestión de claves y cifrado.Si se requiere cifrado y control de claves.
Amazon Bedrock GuardrailsControles de seguridad, filtros y políticas en GenAI.Si se piden restricciones de temas, contenido o información sensible.
Amazon Bedrock Model EvaluationEvaluar modelos y comparar rendimiento.Si se habla de seleccionar modelo con criterios medibles.

15. Cómo razonar preguntas de examen

1Identifica el requisito principal. ¿Privacidad, auditoría, linaje, retención, documentación, permisos, transparencia o cumplimiento?
2Separa seguridad de gobernanza. Cifrar protege; documentar, auditar y versionar gobierna.
3Busca palabras clave. “Evidencia”, “auditoría”, “origen de datos”, “políticas”, “retención” o “responsables” apuntan a gobierno y cumplimiento.
4No elijas IA por defecto. El objetivo puede ser controlar la solución, no mejorar el modelo.
5Piensa en ciclo de vida. La respuesta correcta suele cubrir antes, durante y después del despliegue.

16. Errores frecuentes

  • Confundir cumplimiento con seguridad básica. IAM y cifrado son necesarios, pero no sustituyen documentación, auditoría y políticas.
  • No documentar el origen de los datos. Sin linaje es difícil demostrar por qué una respuesta o modelo se comportó de cierta manera.
  • Guardar prompts y respuestas sin política. Puede aumentar riesgo de privacidad y coste.
  • Permitir RAG sin control de acceso. La recuperación debe respetar permisos del usuario.
  • No asignar propietarios. Una solución de IA sin responsables claros es difícil de auditar y mantener.
  • No revisar cambios de prompts o modelos. Cambios pequeños pueden impactar comportamiento, seguridad y cumplimiento.

Resumen final

La gobernanza y el cumplimiento aseguran que una solución de IA no solo funcione, sino que pueda operarse de forma controlada, segura, trazable y alineada con políticas. En AIF-C01, debes asociar este dominio con linaje de datos, catalogación, documentación de modelos, auditoría, retención, privacidad, responsabilidad compartida y revisión continua.

Recuerda esta regla práctica: seguridad protege, cumplimiento demuestra y gobernanza dirige. Una buena respuesta de examen debe identificar el riesgo principal y elegir controles adecuados: IAM y cifrado para acceso y protección, CloudTrail para auditoría, Model Cards para documentación, Macie para datos sensibles, Guardrails para GenAI y procesos de gobierno para aprobación, revisión y mejora continua.

← AnteriorIr al simulador AIF-C01 →