Compromiso con la Privacidad, el Compliance y la Seguridad en IA

OORT Labs desarrolla agentes de IA empresarial con la premisa de que confianza, privacidad y seguridad no son opcionales. Cada funcionalidad de IA de OORT Flows — asistentes, agentes autónomos y orquestaciones multi-agente — se diseña, opera y audita bajo un programa formal de IA Responsable.

El programa cubre todo el ciclo de vida del sistema: definición del caso de uso, recolección y tratamiento de datos, elección del proveedor del modelo, despliegue, monitoreo en producción y descomisionamiento — asegurando el cumplimiento de las regulaciones aplicables en Brasil y en el exterior.

• Centralidad humana — los sistemas de IA apoyan decisiones humanas y preservan supervisión significativa en casos de alto impacto.
• Privacidad por diseño — la protección de datos personales es un requisito de producto, no un complemento.
• Seguridad por defecto — cifrado en tránsito y en reposo, aislamiento entre tenants y mínimo privilegio.
• Transparencia y explicabilidad — flujos, modelos y fuentes de datos son auditables por el Cliente.
• Equidad y no discriminación — evaluación periódica de sesgos e impacto en grupos protegidos.
• Responsabilidad (accountability) — roles claros entre OORT (Encargada) y Cliente (Responsable).
• Robustez y seguridad técnica — pruebas de regresión, red-teaming y controles contra prompt injection, exfiltración y abuso.
• No usamos los datos del Cliente para entrenar nuestros modelos — el contenido procesado en los flujos no se utiliza para entrenar modelos de OORT.

• ISO/IEC 42001:2023 — Sistemas de Gestión de IA (AIMS).
• ISO/IEC 27001 / 27701 — Seguridad de la Información y Privacidad.
• ISO/IEC 23894:2023 — Gestión de Riesgos de IA.
• NIST AI RMF 1.0 — funciones *Govern*, *Map*, *Measure*, *Manage*.
• OWASP Top 10 para LLM Applications y MITRE ATLAS.
• SOC 2 Type II — controles de seguridad, disponibilidad y confidencialidad.

Cada flujo se clasifica por nivel de riesgo, lo que determina la necesidad de AIA/DPIA, profundidad de logs, puntos obligatorios de revisión humana, restricciones de datos sensibles y frecuencia de auditorías internas.

• Comité de IA Responsable con Ingeniería, Seguridad, Legal, Producto y DPO.
• Responsable técnico de IA designado con canal directo a Clientes y autoridades.
• Puntos de aprobación humana configurables en cualquier flujo, con registro de identidad y justificación.
• Política de Uso Aceptable de IA vinculante para colaboradores y Clientes.
• Capacitación obligatoria en privacidad, seguridad y ética de IA.

• Logs detallados por ejecución (inputs, pasos intermedios, modelo, costo, latencia, output);
• Exposición clara del proveedor y modelo seleccionados;
• Etiquetado de contenido sintético cuando aplique;
• Exportación de logs en formato auditable;
• Generación de explicaciones accesibles para decisiones automatizadas.

• Cifrado en reposo con AES-256 y en tránsito con TLS 1.2+;
• Aislamiento entre tenants en bases, colas y almacenamiento;
• Credenciales de integración cifradas con rotación periódica;
• MFA obligatorio para administradores y SSO/SAML/OIDC para tenants empresariales;
• Cláusulas de *zero data retention* con proveedores de IA cuando esté disponible;
• Filtros de datos sensibles antes del envío a modelos externos;
• SAST, DAST, SCA, escaneo de secretos y red-teaming específico para LLMs;
• Plan de respuesta a incidentes con SLA alineado a LGPD/GDPR.

Los titulares pueden ejercer sus derechos en cualquier momento. Las solicitudes relacionadas con IA tienen tratamiento prioritario.

• DPO: [dpo@oortlabs.com]
• Comité de IA Responsable: [ai-governance@oortlabs.com]
• Privacidad general: [privacy@oortlabs.com]
• Seguridad e incidentes: [security@oortlabs.com]