Nuevo

¡EDDI v6 ya está disponible! Comenzar

Empezar

Privacidad global y cumplimiento normativo

EDDI ofrece cumplimiento integrado para RGPD, CCPA, EU AI Act, HIPAA, PIPEDA, LGPD, APPI, POPIA, PDPA Malaysia PDPA, PIPL y más — con eliminación en cascada de datos, pistas de auditoría criptográficas y una API unificada.

Empezar → Ver en GitHub ↗
Privacidad global y cumplimiento normativo

Cumplimiento por arquitectura

Las industrias reguladas no pueden agregar cumplimiento a los sistemas de IA después del hecho. EDDI integra los fundamentos técnicos para el cumplimiento normativo global directamente en la arquitectura de la plataforma — pistas de auditoría inmutables, eliminación en cascada de datos, restricciones de procesamiento, integridad criptográfica y control de acceso basado en roles son capacidades fundamentales, no complementos. Una API unificada cubre los derechos de los interesados para cada jurisdicción.

Marcos de gobernanza de IA

A medida que los gobiernos de todo el mundo introducen legislación específica sobre IA, las organizaciones necesitan plataformas que proporcionen transparencia, trazabilidad y supervisión humana desde el primer día. La arquitectura de EDDI aborda los requisitos técnicos fundamentales de los principales marcos de gobernanza de IA.

EU AI Act — Unión Europea

El EU AI Act (Reglamento 2024/1689) es la primera ley integral del mundo sobre IA, estableciendo requisitos basados en riesgos para los sistemas de IA. EDDI proporciona los fundamentos técnicos para el cumplimiento de sus requisitos de sistemas de IA de alto riesgo:

  • Pistas de auditoría inmutables — Cada operación registrada con integridad criptográfica HMAC-SHA256 (Art. 12 — Conservación de registros)
  • Transparencia de decisiones — El rastreo completo del pipeline muestra cómo se tomaron las decisiones de IA, incluyendo nombre del modelo, prompt y respuesta (Art. 13 — Transparencia)
  • Supervisión humana — La interfaz de gestión permite la revisión humana, intervención y parada de emergencia (Art. 14 — Supervisión humana)
  • Clasificación de riesgos — La arquitectura soporta los requisitos de sistemas de IA de alto riesgo con controles configurables (Art. 9 — Gestión de riesgos)
  • Reproducibilidad — La configuración como código permite la reproducción exacta del comportamiento de IA para auditorías regulatorias (Art. 17 — Gestión de calidad)
  • Gobernanza de datos — OIDC/Keycloak RBAC, gestión de secretos basada en bóveda, registro de entradas/salidas (Art. 10 — Gobernanza de datos)

NIST AI Risk Management Framework — Estados Unidos

El NIST AI RMF (AI 100-1) proporciona un marco voluntario para la gestión de riesgos de IA a través de cuatro funciones: Govern, Map, Measure y Manage. La arquitectura de EDDI proporciona capacidades técnicas que apoyan a las organizaciones que buscan la alineación con NIST AI RMF:

  • Govern — Roles RBAC (eddi-admin, eddi-editor, eddi-viewer), registro de auditoría inmutable y flujos de datos documentados soportan estructuras de gobernanza de IA
  • Map — El rastreo del pipeline y el registro de conversaciones permiten la identificación y documentación integral de riesgos de IA
  • Measure — Métricas Prometheus, seguimiento de tokens/costos y análisis de uso por agente proporcionan indicadores medibles de rendimiento y riesgo de IA
  • Manage — API de restricción de procesamiento, supervisión humana vía la interfaz Manager y políticas de retención configurables permiten controles de mitigación de riesgos

ISO/IEC 42001 — Sistemas de gestión de IA

ISO/IEC 42001:2023 establece requisitos para un Sistema de Gestión de IA (AIMS). EDDI proporciona capacidades técnicas que apoyan a las organizaciones que buscan la certificación ISO 42001:

  • Políticas de IA documentadas — La configuración como código significa que todo el comportamiento del agente se define en JSON auditable — reglas, workflows, configuraciones de LLM y descriptores de despliegue
  • Evaluación de riesgos — Las pistas de auditoría capturan historiales de decisiones completos para la evaluación de riesgos y análisis de impacto
  • Controles operacionales — RBAC, gestión de secretos basada en bóveda y restricciones de procesamiento proporcionan gobernanza operacional
  • Monitoreo de rendimiento — Métricas Prometheus, dashboards Grafana y telemetría CQRS permiten la evaluación continua del rendimiento de IA

Regulaciones de privacidad de datos

EDDI proporciona endpoints unificados de derechos de los interesados que satisfacen los requisitos técnicos de cada regulación importante de privacidad de datos en el mundo. Una API cubre la eliminación en cascada, la exportación completa de datos y la restricción de procesamiento — independientemente de la jurisdicción.

RGPD — Unión Europea / EEE

El Reglamento General de Protección de Datos (UE 2016/679) es el estándar de referencia para la privacidad de datos. EDDI implementa los derechos de los interesados del RGPD como endpoints API de primera clase respaldados por operaciones en cascada en los 5 almacenes de datos:

  • Derecho de supresión (Art. 17)DELETE /admin/gdpr/{userId} opera en cascada sobre memorias de usuario, conversaciones, mapeos de conversaciones gestionadas, registros de base de datos (pseudonimizados SHA-256) y registro de auditoría (pseudonimizado SHA-256)
  • Derecho de acceso / Portabilidad (Art. 15/20)GET /admin/gdpr/{userId}/export devuelve todos los datos del usuario como JSON estructurado y legible por máquina
  • Derecho a la limitación (Art. 18)POST /admin/gdpr/{userId}/restrict congela el procesamiento preservando los datos, bloqueando nuevas conversaciones y procesamiento de mensajes
  • Registro sin PII — Las operaciones RGPD registran pseudónimos SHA-256, nunca identificadores de usuario sin procesar
  • Retención configurable — Políticas de retención por categoría para conversaciones (365 días por defecto), memorias de usuario (manual) y entradas de auditoría (indefinido para EU AI Act)
  • Herramientas MCPdelete_user_data y export_user_data permiten flujos de trabajo de cumplimiento orquestados por IA

CCPA / CPRA — California, Estados Unidos

El California Consumer Privacy Act y el California Privacy Rights Act otorgan a los consumidores derechos de conocimiento, eliminación y exclusión de la venta de datos. EDDI satisface los requisitos técnicos del CCPA a través de su API compatible con RGPD:

  • Derecho a saber (§1798.100) — El endpoint de exportación RGPD proporciona toda la información personal en un formato estructurado y legible por máquina
  • Derecho a eliminar (§1798.105) — El endpoint de supresión RGPD proporciona eliminación en cascada en todos los almacenes de datos
  • No vender (§1798.120) — EDDI arquitectónicamente no puede vender información personal — es infraestructura middleware que procesa datos exclusivamente en nombre del desplegador

PIPEDA — Canadá

La Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (2000, enmendada 2023) rige el procesamiento comercial de datos a través de 10 Principios de Información Justa. La arquitectura de EDDI se mapea directamente a cada principio:

  • Responsabilidad — Registro de auditoría inmutable firmado con HMAC rastrea todas las operaciones
  • Limitación de recolección — El ventaneo consciente de tokens limita los datos enviados a los LLMs; la retención configurable elimina automáticamente conversaciones antiguas
  • Limitación de uso/divulgación — Los datos se usan solo para interacciones de agentes configuradas; la pista de auditoría registra cada invocación LLM
  • Salvaguardas — Cifrado envolvente AES-256-GCM (Secrets Vault), integridad de auditoría HMAC-SHA256, Keycloak OIDC, RBAC
  • Acceso individual — La exportación completa de datos vía API REST devuelve todas las memorias, conversaciones y mapeos de conversaciones gestionadas como JSON
  • Cuestionamiento del cumplimiento — Eliminación en cascada en los 5 almacenes de datos; pista de auditoría pseudonimizada (no eliminada) para obligaciones de retención legal

LGPD — Brasil

La Lei Geral de Proteção de Dados de Brasil (2018, efectiva 2020) otorga amplios derechos a los titulares de datos, reflejando el RGPD. EDDI cubre todos los derechos del Artículo 18 con capacidades técnicas integradas:

  • Acceso a datos (Art. 18, II) — Exportación completa de datos en JSON
  • Corrección (Art. 18, III) — Memorias de usuario actualizables vía PUT /usermemorystore/memories
  • Anonimización/Eliminación (Art. 18, IV) — Eliminación en cascada con pseudonimización SHA-256 de registros de auditoría
  • Portabilidad de datos (Art. 18, V) — La exportación JSON legible por máquina incluye todos los datos del usuario
  • Eliminación de datos innecesarios (Art. 18, VI) — Políticas de retención configurables con limpieza automática
  • Revocación del consentimiento (Art. 18, IX) — Los endpoints de fin de conversación y eliminación en cascada proporcionan el mecanismo técnico

APPI — Japón

La Ley de Protección de Información Personal de Japón (2003, significativamente enmendada 2022) es una de las leyes de protección de datos más maduras de Asia. Japón tiene una decisión de adecuación de la UE, facilitando los flujos de datos transfronterizos. EDDI proporciona:

  • Medidas de seguridad (Art. 23) — Cifrado vault AES-256-GCM, integridad de auditoría HMAC-SHA256, Keycloak OIDC, RBAC, protección SSRF
  • Divulgación a titulares de datos (Art. 33) — Exportación completa de datos vía API REST
  • Corrección y eliminación (Art. 34-35) — Actualizaciones de memorias para corrección; eliminación en cascada para supresión
  • Información pseudonimizada (enmienda 2022) — La supresión RGPD utiliza pseudonimización SHA-256, satisfaciendo la categoría de información pseudonimizada de APPI
  • Documentación de transferencias transfronterizas (Art. 28) — Flujos de datos de proveedores LLM documentados; la pista de auditoría registra qué modelo/proveedor procesó cada turno

POPIA — Sudáfrica

La Ley de Protección de Información Personal de Sudáfrica (2013, efectiva 2021) establece 8 condiciones de procesamiento de datos alineadas con los estándares europeos. EDDI proporciona capacidades técnicas integradas para cada condición:

  • Responsabilidad (Condición 1) — Registro de auditoría firmado HMAC, flujos de datos documentados, código open-source Apache 2.0
  • Limitación de procesamiento (Condición 2) — Ventaneo consciente de tokens, retención configurable, fin automático de conversaciones inactivas
  • Calidad de la información (Condición 5) — Estado de conversación con marca de tiempo y versionado; memorias de usuario actualizables vía API REST
  • Salvaguardas de seguridad (Condición 7) — Cifrado AES-256-GCM, integridad HMAC, Keycloak OIDC, RBAC, protección SSRF
  • Participación del titular de datos (Condición 8) — Endpoints completos de exportación de datos y eliminación en cascada

PDPA — Singapur y Tailandia

Las Leyes de Protección de Datos Personales de Singapur (2012, enmendada 2021) y Tailandia (2019, efectiva 2022) son los marcos de privacidad más maduros del sudeste asiático. EDDI cubre las obligaciones técnicas de ambas jurisdicciones:

  • Obligación de acceso — Exportación completa de datos vía API REST y herramientas MCP
  • Obligación de corrección — Memorias de usuario actualizables vía API REST
  • Obligación de protección — Cifrado AES-256-GCM, integridad de auditoría HMAC, Keycloak OIDC, RBAC
  • Limitación de retención — Limpieza automática configurable con tiempo de espera de conversaciones inactivas
  • Notificación de violación de datos — Plantilla de runbook de respuesta a incidentes incluida en la documentación de EDDI

PDPA — Malasia

La Ley de Protección de Datos Personales de Malasia 2010 (Ley 709, enmendada 2024) rige el procesamiento comercial de datos personales a través de 7 principios de protección de datos. EDDI proporciona los controles técnicos para respaldar el cumplimiento del implementador:

  • Principio General (§6) — Políticas de retención configurables y endpoint de restricción de procesamiento soportan procesamiento limitado por propósito y basado en consentimiento
  • Principio de Seguridad (§9) — Cifrado de bóveda AES-256-GCM, integridad de auditoría HMAC-SHA256, Keycloak OIDC, RBAC, protección SSRF
  • Principio de Retención (§10) — Retención configurable por categoría con limpieza automática; finalización automática de conversaciones inactivas
  • Principio de Integridad de Datos (§11) — Estado de conversación versionado con marca de tiempo; memorias de usuario actualizables via REST API
  • Principio de Acceso (§12) — Exportación completa de datos via GET /admin/gdpr/{userId}/export devuelve todos los datos de usuario como JSON estructurado
  • Transferencias Transfronterizas (§129) — La arquitectura autoalojada permite a los implementadores controlar la residencia de datos; el registro de auditoría documenta todos los flujos de datos de proveedores LLM

PIPL — China

La Ley de Protección de la Información Personal de China (2021) es una de las leyes de protección de datos más completas del mundo, que rige el procesamiento de información personal de individuos dentro de China. EDDI proporciona la infraestructura técnica para despliegues conformes con PIPL:

  • Procesamiento Lícito (Art. 13) — El comportamiento de agentes dirigido por configuración asegura que el procesamiento se mantenga dentro de los propósitos definidos; la API de restricción de procesamiento congela la actividad a demanda
  • Derechos Individuales (Art. 44–49) — Endpoints de exportación completa de datos, eliminación en cascada y restricción de procesamiento cubren los derechos de conocer, copiar, corregir, eliminar y restringir
  • Seguridad de Datos (Art. 51) — Cifrado de bóveda AES-256-GCM, integridad de auditoría HMAC-SHA256, Keycloak OIDC, RBAC, cero eval()
  • Transferencias Transfronterizas (Art. 38–39) — La arquitectura autoalojada permite el despliegue local dentro de China; el registro de auditoría documenta todos los flujos de datos externos para evaluaciones de seguridad
  • Toma de Decisiones Automatizada (Art. 24) — Registros de auditoría inmutables con trazabilidad completa del pipeline proporcionan transparencia en la toma de decisiones de IA; supervisión humana via UI de gestión
  • Retención de Datos (Art. 19) — Políticas de retención configurables con limpieza automática imponen períodos de almacenamiento mínimos necesarios

Jurisdicciones adicionales

UK GDPR (Reino Unido) — Refleja sustancialmente el RGPD de la UE; los endpoints RGPD de EDDI satisfacen todos los derechos del UK GDPR. Supervisión ICO.PIPA (Corea del Sur) — Requisitos estrictos de consentimiento, DPO obligatorio, notificación de violación de 72 horas. EDDI proporciona la infraestructura técnica de auditoría y supresión.DPDPA (India, 2023) — Marco basado en consentimiento con restricciones transfronterizas. Los endpoints de exportación y supresión de EDDI satisfacen los requisitos del Digital Personal Data Protection Act.Privacy Act + APPs (Australia) — 13 Principios Australianos de Privacidad; esquema de notificación de violación de datos. La pista de auditoría y la exportación de datos de EDDI cubren las obligaciones técnicas.Leyes estatales tipo CCPA (Virginia VCDPA, Colorado CPA, Connecticut CTDPA, etc.) — La API compatible RGPD/CCPA satisface todas las leyes estatales emergentes de privacidad en EE. UU.

Cumplimiento específico de la industria

HIPAA — Salud en Estados Unidos

El Health Insurance Portability and Accountability Act establece salvaguardas para la Información de Salud Protegida (PHI). EDDI proporciona la infraestructura técnica para despliegues de IA conformes con HIPAA:

  • Controles de acceso (§164.312(a)) — Keycloak OIDC con acceso basado en roles (eddi-admin, eddi-editor, eddi-viewer)
  • Controles de auditoría (§164.312(b)) — Registro de auditoría inmutable firmado HMAC que registra cada operación con marcas de tiempo, IDs de usuario y resultados
  • Controles de integridad (§164.312(c)) — Detección de manipulación HMAC-SHA256 en todas las entradas de auditoría
  • Seguridad de transmisión (§164.312(e)) — TLS para tránsito; AES-256-GCM para secretos en reposo vía Secrets Vault
  • Eliminación de datos (§164.310(d)(2)(i)) — El endpoint de eliminación en cascada RGPD elimina permanentemente PHI de todos los almacenes de datos
  • Plantilla BAA — Plantilla de Business Associate Agreement incluida en la documentación de EDDI para despliegues en salud

Preparación SOC 2

SOC 2 Type II evalúa los sistemas según los Trust Services Criteria. La arquitectura de EDDI proporciona controles técnicos que apoyan a las organizaciones que buscan la atestación SOC 2:

  • Seguridad — Autenticación OIDC/Keycloak, RBAC, Secrets Vault (AES-256-GCM), cero eval(), protección contra path traversal, validación de URL
  • Disponibilidad — Escalado horizontal vía NATS JetStream, soporte dual de base de datos (MongoDB/PostgreSQL), despliegue nativo en Kubernetes
  • Integridad de procesamiento — Registro de auditoría inmutable firmado HMAC con verificación de integridad criptográfica por operación
  • Confidencialidad — El filtro de redacción de secretos elimina claves API y referencias de vault de las entradas de auditoría; registro sin PII con pseudónimos SHA-256
  • Privacidad — API completa de derechos de los interesados (supresión, exportación, restricción), retención configurable, controles de restricción de procesamiento

Una API para el cumplimiento global

Cada regulación de privacidad listada arriba es servida por la misma API REST unificada y las mismas herramientas MCP. Ya sea que estés respondiendo a una solicitud de supresión RGPD en Alemania, una solicitud de eliminación CCPA en California o una solicitud de acceso PDPA en Singapur — los mismos endpoints lo manejan todo:

DELETE /admin/gdpr/{userId} — Eliminación en cascada en 5 almacenes de datos (memorias de usuario, conversaciones, mapeos gestionados, registros, entradas de auditoría)
GET /admin/gdpr/{userId}/export — Exportación completa de datos del usuario como JSON estructurado (memorias, conversaciones, registros de auditoría)
POST /admin/gdpr/{userId}/restrict — Congelar procesamiento preservando datos para resolución de disputas
MCP: delete_user_data — Eliminación en cascada orquestada por IA (requiere confirmación explícita)
MCP: export_user_data — Exportación de datos orquestada por IA para flujos de trabajo DSAR automatizados

Construido para industrias reguladas en todo el mundo

Salud, servicios financieros, gobierno, manufactura y otros sectores regulados pueden desplegar EDDI con confianza. La plataforma proporciona la transparencia, auditabilidad y mecanismos de control requeridos por más de 15 marcos regulatorios — desde el EU AI Act y el RGPD en Europa hasta HIPAA en Estados Unidos, PIPEDA en Canadá, LGPD en Brasil, APPI en Japón, POPIA en Sudáfrica y PDPA en el sudeste asiático. El cumplimiento no es una ocurrencia tardía — es una fundación arquitectónica.

Empezar → Ver en GitHub ↗