Enfoque de Avetta hacia el uso responsable de la inteligencia artificial

Quienes formamos Avetta, creemos que la inteligencia artificial (IA) debe fortalecer la confianza, mejorar la seguridad y respaldar la toma de mejores decisiones en las cadenas de suministro globales. Desarrollamos IA y la implementamos de manera cuidadosa y responsable para mejorar nuestros productos, apoyar nuestras operaciones internas y brindar valor a nuestros clientes, a la vez que mantenemos la transparencia, rendimos cuentas y materializamos medidas de seguridad sólidas.

Cómo usamos la IA

Avetta usa inteligencia artificial para respaldar su misión de mejorar la seguridad, el cumplimiento y la eficiencia en las cadenas de suministro globales. Algunos productos de Avetta pueden contar con capacidades impulsadas por IA para ayudar a los clientes a trabajar de manera más eficiente, identificar riesgos con anticipación y mejorar la coherencia y exactitud en el procesamiento y el análisis de datos. Estas capacidades están diseñadas para mejorar el criterio y la toma de decisiones de las personas, no para reemplazarlas.

El uso y la adopción de la IA en Avetta se rigen por políticas y controles empresariales que enfatizan la protección y exactitud de los datos, la transparencia y la supervisión humana adecuada, en función de los marcos generales de Avetta en materia de gobernanza, seguridad y cumplimiento.

Principios fundamentales para el uso de IA

Los siguientes principios guían el desarrollo, la implementación y el uso de IA por parte de Avetta:

Supervisión y rendición de cuentas por parte de las personas

La IA sirve como herramienta de apoyo, no toma decisiones. Mantenemos la revisión y la gobernanza humanas en varios niveles; en particular, cuando el contenido que genera la IA puede influir en el cumplimiento, la seguridad o los riesgos. Esto abarca la supervisión interna que efectúa nuestro personal y el control del usuario que habilita a los clientes para aceptar, modificar o rechazar contenido generado por IA. La responsabilidad final de las decisiones siempre recae en las personas, no en los sistemas de IA.

Transparencia y uso orientado a un propósito

Implementamos IA con fines comerciales claros, legítimos y conformes a la mejora de la seguridad, la eficiencia, el cumplimiento y la resiliencia de la cadena de suministro. Cuando las funciones impulsadas por IA generan resultados orientados al usuario, se identifica de manera clara que esos resultados se generaron con IA o con ayuda de la IA para que los usuarios puedan tomar decisiones fundamentadas sobre cómo usarlos o proceder en consecuencia.

Imparcialidad, confiabilidad y concientización sobre los riesgos

Reconocemos que, si no se manejan de manera adecuada, los sistemas de IA pueden producir errores o sesgos involuntarios. Avetta evalúa los casos de uso de IA para determinar su relevancia, confiabilidad e imparcialidad antes de la implementación, y los monitorea a lo largo del tiempo para identificar y mitigar riesgos tales como sesgos involuntarios, desviaciones del modelo y pérdida de precisión.

Privacidad y protección de datos

Proteger los datos de los clientes es fundamental para Avetta al usar IA. Diseñamos y manejamos sistemas impulsados por IA con medidas de seguridad pensadas para proteger la confidencialidad, la integridad y el uso adecuado de los datos de los clientes en todo su ciclo de vida.

Los controles de protección de datos que Avetta implementa en los sistemas impulsados por IA son coherentes con nuestro programa general de seguridad de la información y privacidad, incluidos los controles de acceso, el cifrado, el registro y el monitoreo. Los datos de los clientes se utilizan exclusivamente con fines comerciales definidos, legítimos y conforme a los contratos pertinentes (incluidos los acuerdos sobre procesamiento de datos), los avisos de privacidad y las leyes de protección de datos.

Gobernanza, políticas y controles

Avetta implementa políticas, pautas y procesos de revisión internos que rigen tanto los productos impulsados por IA como el uso interno de la IA. Entre ellos, se incluyen los siguientes:

• normas claras sobre el uso de la IA con fines comerciales por parte de empleados, contratistas y proveedores;
• procesos de revisión y aprobación para nuevas herramientas de IA y funciones impulsadas por IA;
• revisión inventariada y por riesgos de los sistemas de IA que se utilizan en toda la organización;
• monitoreo y actualizaciones continuos para acompañar la evolución de la tecnología, la normativa y las prácticas recomendadas.

Cumplimiento de las normas y posicionamiento de la Ley de IA de la UE

Avetta asumió el compromiso de usar la IA en cumplimiento de las leyes y regulaciones pertinentes, incluidos los marcos normativos específicos de la IA, como la Ley de Inteligencia Artificial de la UE (Ley de IA de la UE).

En virtud del marco basado en roles de la Ley de IA de la UE, Avetta puede actuar como proveedor o implementador (usuario) de servicios de IA, o bien como ambos, según el caso de uso de IA y el contexto específicos. Avetta evalúa su rol caso por caso y aplica medidas de gobernanza proporcionales a las obligaciones normativas pertinentes.

En materia de gobernanza de la IA, Avetta adopta un enfoque en función de los riesgos conforme a la Ley de IA de la UE, incluida la evaluación de los sistemas de IA según el propósito previsto y el posible impacto, la implementación de supervisión humana adecuada, la aplicación de medidas de transparencia y documentación cuando procede, y la integración de consideraciones en materia de IA a los procesos existentes de privacidad, seguridad y riesgos de proveedores.

A medida que la normativa sobre IA evoluciona a nivel mundial, Avetta monitorea los desarrollos en materia legal y actualiza sus políticas, procesos y controles a fin de mantener el cumplimiento de los requisitos vigentes y satisfacer las expectativas de los clientes.

Gestión responsable de la IA por parte de proveedores y terceros

Algunas de nuestras funciones y capacidades de IA emplean tecnologías externas de proveedores confiables. Avetta aplica sus procesos vigentes para la gestión de proveedores, la seguridad y la revisión legal a los proveedores de IA, de la misma manera en que evalúa a otros proveedores de servicios críticos.

Contratamos a los proveedores externos de IA como gestores de datos en virtud de los acuerdos de Avetta. Estos proveedores tienen la obligación contractual de proteger los datos de los clientes, usarlos solo para proporcionar la funcionalidad específica de IA para la cual los contratamos y cumplir sus obligaciones pertinentes en materia de seguridad, privacidad y legal.

Avetta prohíbe a los proveedores externos de IA usar datos de los clientes para entrenar o mejorar sus sistemas de IA, o bien para otros fines independientes. Asimismo, evaluamos la manera en que los proveedores de IA manejan, conservan, protegen y eliminan los datos, e imponemos límites de retención de datos definidos para garantizar que los proveedores externos de IA no guarden los datos de los clientes durante un período mayor que el necesario para proporcionar la funcionalidad contratada de acuerdo con las normas sobre protección de datos de Avetta.

Seguridad, certificaciones y auditorías independientes

Avetta implementa programas de privacidad y seguridad de la información en toda la empresa. Estos programas se aplican a nuestra plataforma de software como servicio (SaaS) basada en la nube y a los procesos operativos relacionados, incluidos aquellos que admiten funcionalidades impulsadas por IA.

Certificaciones ISO

Avetta mantiene un sistema de gestión de la seguridad de la información (ISMS), un sistema de gestión de información de la privacidad (PIMS) y un sistema de gestión de continuidad del negocio (BCMS), certificados de forma independiente en virtud de las normas ISO reconocidas a nivel internacional, incluidas las siguientes:

• ISO/IEC 27001:2022 - Gestión de la seguridad de la información
• ISO/IEC 27017:2015 - Controles de seguridad en la nube
• ISO/IEC 27018:2019 - Protección de datos personales en servicios en la nube
• ISO/IEC 27701:2019 - Gestión de información de la privacidad
• ISO/IEC 22301:2019 - Gestión de continuidad del negocio

Estas certificaciones abarcan los sistemas, los procesos y los controles que respaldan la plataforma SaaS basada en la nube de Avetta, así como sus funciones operativas relacionadas.

Auditoría SOC 2 de tipo II

Cada año, Avetta se somete a una auditoría SOC 2 de tipo II independiente, la cual abarca los criterios de servicios de confianza en materia de seguridad y confidencialidad. La auditoría permite evaluar la eficacia del diseño y las operaciones de los controles de Avetta durante un período definido.

Los clientes pueden revisar las certificaciones ISO de Avetta y el informe de la auditoría SOC 2 de tipo II en el Centro de confianza de Avetta, un portal seguro que pone a su disposición la documentación de seguridad, cumplimiento y privacidad de Avetta. Para acceder a determinados materiales, es posible que deba aceptar un acuerdo de no divulgación. El Centro de confianza está disponible en https://trust.avetta.com.

‍¿Tiene otras consultas?

Si tiene otras preguntas sobre nuestras prácticas en materia de IA, desea solicitar documentación de cumplimiento o realizar consultas generales, escriba a compliance@avetta.com.

Por cuestiones relacionadas con la privacidad o para ejercer sus derechos de protección de datos, escriba a privacy@avetta.com.