Saltar al contenido
IAC Trust Registry
Verificar registro
IAC AI Trust · Esquema piloto · El esquema en detalle

El esquema, en detalle. Qué verifica y cómo.

Siete dominios de uso responsable de IA avanzada sobre ISO/IEC 42001, tres niveles de verificación y una doble verificación cuando hay certificación. Acá está lo que IAC mira, qué evidencia exige y qué deja registrado.

Postulá al piloto Ver los dominios

Esquema piloto · IAC verifica evidencia · alcance declarado · no otorga acceso

Advertencia de naturaleza

IAC verifica evidencia; no acredita, no certifica y no otorga acceso a ningún sistema de IA. Este es un esquema privado de IAC, no una norma. Verifica que tu organización gestiona su uso de IA avanzada de forma responsable y deja esa evidencia consultable.

Qué establece el esquema

Convierte la confianza ciega en evidencia consultable.

El esquema establece los criterios bajo los cuales IAC verifica que una organización gestiona su uso de IA avanzada de manera responsable, tomando ISO/IEC 42001:2023 como base normativa.

El resultado es una credencial verificable, con alcance declarado y vigencia, que la organización puede presentar cuando solicita acceso a capacidades de IA avanzada o cuando debe demostrar uso responsable ante terceros. No es un sello de calidad ni una promesa de buen comportamiento futuro: es la constatación, a una fecha y bajo un alcance, de que existe un sistema de gobierno de IA y de que su evidencia es real.

Base normativa

Se apoya en normas existentes; no las reescribe.

El esquema toma ISO/IEC 42001:2023 como base principal y se apoya en normas de soporte donde un criterio lo requiere. No exige cumplir todas: exige que la organización demuestre la práctica que la norma describe.

ISO/IEC 42001:2023 — base principal

Sistema de gestión de IA (AIMS). Cláusulas 4 a 10 y los 38 controles del Anexo A. El esquema verifica la práctica que la norma describe, no emite la certificación de la norma.

Normas de apoyo

ISO/IEC 23894 (gestión del riesgo de IA), ISO/IEC 42005 (evaluación de impacto) e ISO/IEC 27001:2022 (seguridad de la información). Soporte para los dominios de riesgo, impacto y seguridad.

Referencia regulatoria

El marco regulatorio aplicable —como el Reglamento europeo de IA— se toma como referencia donde corresponde. El esquema no sustituye obligaciones legales.

Siete dominios de verificación

Qué verifica cada dominio —y con qué evidencia.

Siete dominios mapeados a ISO/IEC 42001. Cada uno define qué se verifica y qué evidencia se exige. El orden refleja lo que un proveedor de capacidades de IA necesita ver para confiar.

D1

Gobierno y rendición de cuentas

Existe una política de IA aprobada, roles definidos y un responsable nombrado con autoridad real.

Evidencia que se verifica

Política firmada, organigrama de IA, acta de designación del responsable.

D2

Riesgo e impacto

La organización evaluó el riesgo y el impacto de sus usos de IA avanzada sobre personas y terceros.

Evidencia que se verifica

Evaluación de riesgo, evaluación de impacto y criterios de aceptación.

D3

Control de usos y prevención de uso indebido

Hay límites de uso definidos, supervisión humana en los usos de alto impacto y controles contra el abuso y el uso fuera de propósito. Es el dominio que más le importa a un proveedor.

Evidencia que se verifica

Política de uso aceptable, registros de supervisión humana, controles de acceso a capacidades sensibles.

D4

Seguridad y gobierno de datos

Los datos y los modelos están protegidos; el acceso está controlado; las salidas no exponen información que no deben.

Evidencia que se verifica

Controles de seguridad, gestión de accesos, tratamiento de datos.

D5

Transparencia, trazabilidad y registro

Las decisiones asistidas por IA dejan rastro; la organización puede reconstruir qué hizo el sistema y con qué información se lo alimentó.

Evidencia que se verifica

Registros (logs) de uso, trazabilidad de versiones, información provista a usuarios afectados.

D6

Incidentes y monitoreo continuo

Hay un mecanismo para detectar, responder y aprender de incidentes de IA, y el sistema se monitorea en operación, no solo al inicio.

Evidencia que se verifica

Procedimiento de incidentes, registro de incidentes y acciones, indicadores de monitoreo.

D7

Relaciones con terceros

La cadena —proveedores de modelos, integradores, clientes— está gobernada y las responsabilidades repartidas.

Evidencia que se verifica

Contratos, cláusulas de uso, asignación de responsabilidades.

Tres niveles de verificación

El nivel no premia esfuerzo: declara cuánta garantía respalda la credencial.

Tres niveles. Cada uno declara la profundidad de la verificación —y, por lo tanto, qué profundidad de uso avanzado puede justificar ante un proveedor.

Nivel 1 · Documental

Verificado documental

La evidencia documental de los siete dominios existe y es coherente. Verificación sobre documentos.

Nivel 2 · Operativo

Verificado operativo

Además, IAC constata que las prácticas operan: muestras, registros reales, entrevistas. Verificación sobre operación.

Nivel 3 · Con vigilancia

Verificado con vigilancia

Además, monitoreo periódico durante la vigencia. Verificación sostenida en el tiempo.

Doble verificación

Según tu sistema esté certificado o no.

El esquema se apoya en la certificación cuando existe y verifica de forma independiente cuando todavía no. La credencial declara cuál de los dos caminos se siguió.

Si tu sistema está certificado

Sobre la certificación

¿La competencia del sistema ya responde un organismo de certificación?

La certificación responde por la competencia del sistema y IAC verifica el uso responsable. Dos controles independientes sobre la misma organización.

Si todavía no está certificado

Verificación independiente

¿Y si la certificación todavía no existe?

IAC verifica de forma independiente y la credencial lo declara así. La verificación cubre lo declarado y lo que IAC pudo constatar, a una fecha.

Proceso de verificación

De la solicitud al registro, en cuatro pasos.

El esquema separa a quien prepara de quien verifica. Quien preparó a la organización no la verifica.

Solicitud y alcance

La organización declara sistemas, usos y nivel buscado. El alcance se fija antes de verificar.

Verificación independiente

IAC verifica la evidencia contra los criterios. Quien preparó a la organización no la verifica.

Doble verificación, cuando aplica

Si el sistema de gestión está certificado, la certificación responde por la competencia del sistema y IAC verifica el uso responsable. Si no, IAC verifica de forma independiente y la credencial lo declara.

Dictamen y registro

Resultado con alcance, nivel y vigencia, asentado en el registro público y consultable por código.

La credencial

Consultable por código. Afirma lo que se verificó —nada más.

Toda evidencia debe ser consultable: fechada, atribuible y registrada en IAC con su alcance. La credencial no vale por el logo; vale porque cualquiera con el código puede ver qué se verificó, cuándo y hasta dónde.

La credencial declara organización, alcance, nivel, fecha, vigencia y código de verificación. Permite afirmar lo que se verificó; nada más.

Sirve para presentar ante quien te pide demostrar uso responsable: un proveedor de capacidades de IA avanzada, un cliente o un regulador. Una credencial que el tercero no puede verificar contra un registro es indistinguible de una declaración.

Cómo se verifica una credencial
IAC AI TrustUso responsable de IA · verificado Vigente
Organización— declarada —
AlcanceSistemas y usos declarados
NivelNivel 2 · Operativo
Fecha / vigenciaCon fecha y vencimiento
CódigoIAC·AIT·····
Vigencia, vigilancia y renovación

Un uso responsable no es un estado que se alcanza una vez.

La credencial tiene fecha de vencimiento. En Nivel 3, la vigencia depende de la vigilancia: si la organización deja de sostener las prácticas, la credencial se suspende. La verificación se mantiene mientras se sostiene la evidencia —no más allá.

Límites

Lo que el esquema no es.

La credibilidad del esquema depende de declarar con precisión lo que no hace. Un esquema que se infla pierde exactamente el valor que pretende crear.

IAC AI Trust no

  • No es una norma internacional. Es un esquema privado de IAC, no una publicación ISO.
  • No es una acreditación. IAC no acredita organizaciones ni sistemas; acreditar es función de los organismos de acreditación.
  • No certifica ISO/IEC 42001. La certificación de un sistema de gestión la emite un organismo de certificación. IAC verifica evidencia.
  • No otorga acceso a IA. Produce una credencial; la decisión de habilitar el acceso es siempre del proveedor.
  • No evalúa la calidad técnica de los modelos, no garantiza ausencia de daño y no sustituye obligaciones legales.
  • No valida nada fuera del alcance declarado.

Verifica gobierno y evidencia de uso responsable, a una fecha y bajo un alcance.

¿Lo viste en detalle? Postulá al piloto.

El esquema está en modo piloto. Si tu organización quiere demostrar, con evidencia verificable, que gobierna su uso de IA avanzada con responsabilidad, postulá para participar.

Postulá al piloto Preguntas frecuentes

Esquema piloto · IAC verifica, no acredita ni certifica · no otorga acceso a IA