Registro de cumplimiento normativo para sistemas de inteligencia artificial
El registro de cumplimiento para IA va más allá del simple registro de aplicaciones. Requiere pistas de auditoría criptográficamente íntegras que cubran el ciclo de vida completo de los artefactos de IA — desde los datos de entrenamiento hasta las decisiones operativas — accesibles para verificadores independientes.
La diferencia entre registro de aplicaciones y registro de cumplimiento
El registro de aplicaciones tradicional — ficheros de logs, bases de datos de eventos, paneles de monitorización — está diseñado para la detección de errores y la optimización del rendimiento. El registro de cumplimiento responde a requisitos distintos: los registros deben ser a prueba de manipulaciones (cualquier modificación es detectable), autenticables (el origen y la integridad son verificables por terceros), exhaustivos (ningún evento relevante puede omitirse) y conservados durante períodos definidos reglamentariamente. Estas propiedades requieren una infraestructura criptográfica específica que los sistemas de registro tradicionales no proporcionan.
Certificación criptográfica de artefactos de IA
CertifiedData implementa el registro de cumplimiento a nivel de artefactos de datos. Cada conjunto de datos sintéticos generado recibe un certificado que contiene: un identificador único (UUID), la huella SHA-256 del fichero, los metadatos de generación (algoritmo CTGAN, número de filas y columnas, marca de tiempo ISO-8601) y una firma Ed25519 emitida por la autoridad "Certified Data LLC". Este certificado constituye el registro de cumplimiento del artefacto de datos, satisfaciendo los requisitos del Artículo 12 del EU AI Act sobre registro automático.
Pista de auditoría completa sobre el ciclo de vida de los artefactos
Un registro de cumplimiento eficaz debe cubrir el ciclo de vida completo de un artefacto de IA. Para un conjunto de datos sintéticos, este ciclo comprende: creación (cuándo, cómo, con qué algoritmo), certificación (cuándo se certificó, por qué autoridad), uso (en qué modelo, para qué propósito) y verificación (quién verificó, en qué fecha). CertifiedData registra los pasos de creación y certificación en el registro inmutable y proporciona una API de verificación que registra las consultas de certificados. El registro de transparencia ofrece una vista consolidada de esta pista de auditoría.
Registro de cumplimiento y gobernanza organizacional
A nivel organizacional, el registro de cumplimiento de IA debe integrarse en el sistema de gestión de gobernanza, riesgos y cumplimiento (GRC) de la organización. CertifiedData facilita esta integración mediante una API de listado de certificados que permite extraer todos los artefactos certificados de una organización, sus metadatos y sus estados de verificación. Estos datos alimentan los paneles de cumplimiento, los informes de auditoría y las revisiones regulatorias. El cumplimiento del EU AI Act se convierte así en un proceso continuo y documentable, en lugar de un esfuerzo puntual durante las auditorías.