Esta página se muestra en inglés mientras se prepara una traducción revisada para su idioma.

Cómo concebimos la seguridad de la información por capas en Perspectis AI

Una perspectiva sencilla de Perspectis AI sobre la defensa en profundidad: acceso granular, límites éticos, minimización, monitorización, IA dentro de los mismos límites y un enfoque honesto sobre la certificación frente al diseño del producto.

8 min read

Guía en lenguaje sencillo para líderes, clientes y equipos (abril de 2026)

La respuesta breve

Las organizaciones profesionales serias no logran el éxito con un solo control de seguridad. Consideramos la seguridad de la información como una defensa en profundidad: varios mecanismos independientes que se refuerzan mutuamente —opciones de acceso, jerarquía de políticas, barreras éticas, gestión de la confidencialidad, tratamiento cuidadoso de la información personal identificable, perímetros de red reforzados, monitorización y auditabilidad— de modo que si una capa falla o se vulnera, las demás limitan el daño.

Esta nota explica cómo abordamos esta postura con las partes interesadas no técnicas. No se trata de un certificado, una opinión de auditoría ni un catálogo exhaustivo de controles. Los resultados formales, como la certificación de gestión de la seguridad de la información, los informes de confianza independientes y las conclusiones legales específicas de los reguladores, dependen de cómo se implementa Perspectis AI, qué subprocesadores están incluidos y qué evidencia mantiene el cliente con sus auditores y asesores legales.

Por qué el modelo de “múltiples capas” es el adecuado

Una metáfora útil es la de un campus de investigación con diferentes niveles de acceso: credenciales en la entrada, laboratorios cerrados con llave, normas sobre lo que puede salir del edificio, cámaras donde sea necesario y equipos separados que no pueden compartir información cuando la política lo prohíbe. Ninguna medida por sí sola lo resuelve todo; la combinación es lo que genera resiliencia.

Ese es el espíritu de Perspectis AI: controles por capas alineados con el funcionamiento real de las organizaciones reguladas y sensibles a la reputación, no una promesa de que una sola función elimine el riesgo.

--

Capa 1: Qué puede ver y hacer la plataforma (acceso granular)

Las organizaciones difieren en el grado de automatización que desean para el correo electrónico, los calendarios, los documentos y canales relacionados. Nosotros admitimos patrones de acceso granular para que los equipos puedan elegir, en términos sencillos:

  • Sin acceso: la plataforma no accede a ese canal para tareas importantes.

  • Acceso centrado en metadatos: contexto suficiente para coordinar el trabajo (por ejemplo, señales de sincronización y enrutamiento) sin acceder al contenido completo de los mensajes cuando la política lo prohíbe.

  • Acceso al contenido: donde la política y los contratos permiten una asistencia más completa.

Interruptores adicionales rigen si se permite el procesamiento del lenguaje natural, funciones de análisis más avanzadas, el intercambio entre productos y capacidades similares para cada organización. Lo denominamos una superficie controlada por políticas: el mismo producto puede ser más estricto o más permisivo según las preferencias del cliente y las normas profesionales.

--

Capa 2: Cuando dos políticas discrepan (jerarquía clara)

En las empresas reales, existen normas en muchos niveles: estándares para toda la empresa, requisitos específicos del cliente y restricciones específicas del caso. Estas normas pueden entrar en conflicto. Implementamos patrones de preeminencia para que el resultado efectivo sea predecible: a veces prevalece la norma más estricta, a veces una autoridad superior limita lo que los niveles inferiores pueden permitir, y a veces las políticas convergen hacia el resultado efectivo más seguro cuando se aplican varias normas simultáneamente.

La previsibilidad es tan importante como la rigurosidad. Las barreras éticas (barreras de información) solo funcionan cuando las personas —y los sistemas— saben qué regla rige una solicitud determinada.

--

Capa 3: Barreras éticas y deberes de separación

Las barreras éticas son el concepto profesional de que ciertas personas, equipos o flujos de trabajo asistidos por IA no deben ver ni combinar información específica. Nosotros consideramos las barreras como una separación obligatoria, no como un ejercicio de entrenamiento para el modelo. Las barreras se evalúan con una semántica que facilita las auditorías, por lo que la advertencia de «no cruzar esta línea» es una preocupación de la plataforma, no una simple sugerencia.

Esto es especialmente relevante cuando los niveles de confidencialidad (público, interno, altamente sensible y otras gradaciones similares utilizadas en la práctica profesional) deben aplicarse de forma coherente en los flujos de trabajo.

--

Capa 4: Información de identificación personal y minimización

La información de identificación personal es cualquier dato que pueda identificar a una persona directa o indirectamente. **Invertimos en detección y saneamiento en las rutas compatibles, por lo que muchos artefactos almacenan representaciones redactadas o cifradas cuando corresponde, sin dejar de reconocer que la defensa en profundidad también se basa en el AIslamiento de inquilinos, los controles de acceso y el cifrado. No todos los campos de cada flujo de trabajo pasan por el mismo proceso de saneamiento; evitamos afirmaciones de marketing que las evaluaciones de ingeniería internas no respaldarían.

El objetivo del diseño es la minimización: reducir la huella sensible innecesaria, mantener registros profesionales donde la función del producto lo requiera y restringir el análisis más profundo mediante las mismas políticas de acceso y seguridad descritas anteriormente.

--

Capa 5: El borde de la aplicación y la monitorización operativa

Los sistemas orientados al cliente se benefician de prácticas disciplinadas de borde HTTP: encabezados orientados a la seguridad, reglas de integración del navegador cuidadosamente restringidas y superficies operativas para monitorizar clases de abuso, como los intentos de inyección de mensajes contra rutas controladas. También invertimos en patrones de observabilidad (métricas, alarmas, registros estructurados) para que los operadores puedan detectar anomalías y responder, entendiendo que los paneles y umbrales exactos son específicos de cada implementación.

--

Capa 6: Trabajo asistido por IA dentro de los mismos límites

Las funcionalidades de Agente Personal y Asistente Personal Ejecutivo no constituyen un entorno completamente independiente. Los mismos principios de acceso, seguridad, confidencialidad e intervención humana que se aplican en otros ámbitos también se aplican a las acciones asistidas: aprobaciones en situaciones críticas, registros duraderos donde la continuidad es fundamental y la certeza absoluta de que una redacción ingeniosa puede anular los permisos.

El Entorno de Demostración de IA de Perspectis es donde hacemos tangible esta idea: escenarios integrales que muestran cómo la asistencia se integra en los controles profesionales, no al margen de ellos.

Lenguaje de cumplimiento que utilizamos cuidadosamente

Los interesados suelen preguntar cómo se relaciona esto con marcos de referencia conocidos. Alineamos el trabajo de producto e ingeniería con temas comunes (por ejemplo, temas del anexo internacional de gestión de la seguridad de la información, criterios de servicio de confianza utilizados en informes de garantía independientes, expectativas europeas de ingeniería de la privacidad y patrones de salvaguardias similares a los del sector sanitario cuando las implementaciones se dirigen a esos regímenes). Dejamos claro que la alineación no es lo mismo que la certificación: los auditores emiten opiniones sobre organizaciones y límites de producción, no sobre una instantánea del repositorio de código fuente.

| Tema | Lo que la postura del producto puede afirmar con honestidad | Lo que queda por hacer para el cliente y el auditor |

| --- | --- | --- |

| Certificación y atestación | Sólida alineación del diseño y documentación que facilita la diligencia debida | Certificados formales, sistemas incluidos en el alcance, políticas, evidencia operativa |

| Cifrado | Patrones estándar del sector para datos en tránsito y en reposo cuando están configurados correctamente | Gestión de claves, rotación y opciones de infraestructura por implementación |

| Uso en formación | Separación arquitectónica entre las cargas de trabajo del cliente y los patrones de entrenamiento de modelos propiedad de Perspectis; los proveedores de modelos externos siguen rigiéndose por sus términos y las decisiones del cliente | Revisión por parte del cliente de los subprocesadores, los acuerdos de procesamiento de datos y los modos de retención |

| Supervisión de la IA | Interacción humana, registros de auditoría, gobernanza de herramientas y rutas con detección de barreras (donde se implementan) | Conclusiones específicas de la empresa sobre privilegios, ética y legislación local |

--

Límites honestos (porque la credibilidad también es un control)

Nosotros señalamos claramente algunos límites:

  • No existe la “seguridad perfecta”. Cualquier sistema real puede tener defectos, configuraciones incorrectas o ataques novedosos.

  • La garantía es un trabajo conjunto. Los clientes deben operar la identidad, los dispositivos y los procesos comerciales de acuerdo con su propia tolerancia al riesgo.

  • Las puntuaciones y los monitoreos de las utilidades de validación internas son señales operativas, no calificaciones de marketing permanentes; la postura criptográfica evoluciona con los estándares y las decisiones de infraestructura.

Fuentes (referencias públicas de los marcos de referencia, no afirmaciones sobre productos)

*Este documento está dirigido a lectores externos no técnicos. Nosotros mantenemos evaluaciones técnicas autorizadas y referencias de implementación para la debida diligencia del cliente, bajo la confidencialidad adecuada. *

Contáctanos · Perspectivas · Explorar agentes