
Responde al review de seguridad
con evidencia, no promesas.
La falta de evidencia SOC 2 para tus funciones de IA puede frenar un acuerdo enterprise. AegisPlane registra cada interacción de IA, decisión de acceso y comprobación de política frente a los Trust Services Criteria. La exportas directa a tu auditoría.
Sin cambios de código. En tu tráfico en un día.
Un control se sitúa delante de cada modelo que tus equipos ya usan, comprobando cada solicitud frente a los estándares que tus auditores reconocen.
¿Qué es SOC 2?
Los compradores enterprise no se fían de tu palabra sobre seguridad. SOC 2 es el marco de la AICPA que informa sobre tus controles frente a los Trust Services Criteria: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Un informe Tipo II demuestra que esos controles funcionaron en el tiempo.
- Informa sobre controles frente a cinco Trust Services Criteria.
- El Tipo II evalúa la eficacia de los controles a lo largo de un periodo, no de un momento.
- Los criterios comunes de seguridad (serie CC) siempre están en alcance.
- Con frecuencia es imprescindible para cerrar acuerdos enterprise.
Qué exige SOC 2
Un informe Tipo II muestrea la actividad de control en el tiempo. AegisPlane produce esa actividad para tu superficie de IA.
Controles de acceso lógico
CC6 exige acceso controlado. El acceso a modelos y proveedores se gobierna con RBAC e identidad OIDC/SAML.
Monitoreo del sistema
CC7 exige monitoreo y respuesta. Las métricas y alertas de OpenTelemetry capturan las señales.
Gestión de cambios
Los controles son config versionado compilado en bundles firmados, un registro de cambios auditable.
Evidencia en el tiempo
Cada acceso, decisión y comprobación se registra de forma continua, acorde al periodo que cubre un Tipo II.
Una solicitud, comprobada en tiempo real
Esto es una interacción. AegisPlane clasifica la solicitud, la comprueba frente al marco, bloquea lo que debe y registra la decisión como evidencia. Ocurre en milisegundos, sobre tráfico real.
Valor de negocio
- Mejora la preparación para ventas enterprise.
- Fortalece la confianza en la gobernanza de seguridad.
- Facilita los flujos de auditoría y cuestionarios.
Cómo produce AegisPlane evidencia SOC 2 para la IA
AegisPlane convierte el tráfico de IA en una fuente de evidencia SOC 2 en el AI Control Plane (AICP), registrando de forma continua la actividad de control que muestrea una auditoría Tipo II.
Controles como config
Los controles de acceso, registro y cambios son config versionado compilado en bundles firmados: un estado de control claro y auditable.
Aplicado en el gateway
Los controles de acceso lógico (CC6) se aplican en cada solicitud vía RBAC e identidad OIDC/SAML, evaluados por el motor de políticas OPA.
Monitoreado de forma continua
El monitoreo del sistema (CC7) se respalda con métricas y alertas de OpenTelemetry, capturando las señales operativas que esperan los auditores.
Registrado como evidencia
Cada acceso, decisión de política y cambio se registra según su criterio de Trust Services y es exportable durante todo el periodo de auditoría.
Preguntas frecuentes
No. Un informe SOC 2 lo emite una firma de CPA autorizada tras una auditoría. AegisPlane aporta la evidencia de control continua de la parte de IA de tu entorno en la que se apoya esa auditoría.
Principalmente los criterios comunes de seguridad (serie CC) (acceso lógico, monitoreo y cambios) que son los controles observables en runtime sobre el tráfico de IA.
El acceso se gobierna mediante identidad OIDC/SAML y RBAC aplicado en el gateway, y cada decisión se registra como evidencia.
Sí. Los logs son continuos y retenibles, lo que encaja con la naturaleza de periodo de una auditoría Tipo II.
Sí. Muchos equipos persiguen ambos; AegisPlane puede producir evidencia alineada con cada uno sobre el mismo tráfico.
Por qué ahora
Comprobaciones y evidencia continuas, no una evaluación anual obsoleta
La falta de evidencia de IA frena acuerdos enterprise. Cierra la brecha antes del próximo review. Cada framework seleccionado se comprueba sobre tráfico de IA en vivo y la decisión se registra como evidencia, para que la preparación de auditorías deje de ser una urgencia. Sin cambios de código.
