Saltar al contenido principal
AegisPlane
¿Qué es SOC 2?

Responde al review de seguridad

con evidencia, no promesas.

La falta de evidencia SOC 2 para tus funciones de IA puede frenar un acuerdo enterprise. AegisPlane registra cada interacción de IA, decisión de acceso y comprobación de política frente a los Trust Services Criteria. La exportas directa a tu auditoría.

Sin cambios de código. En tu tráfico en un día.

TSCTrust services criteria
Tipo IIEvidencia en el tiempo
0Cambios de código
12marcos y estándares comprobados
11proveedores LLM, un gateway
Nivel de artículomotor de políticas (OPA)
Cada solicitudregistrada como evidencia

Un control se sitúa delante de cada modelo que tus equipos ya usan, comprobando cada solicitud frente a los estándares que tus auditores reconocen.

El marco

¿Qué es SOC 2?

Los compradores enterprise no se fían de tu palabra sobre seguridad. SOC 2 es el marco de la AICPA que informa sobre tus controles frente a los Trust Services Criteria: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Un informe Tipo II demuestra que esos controles funcionaron en el tiempo.

  • Informa sobre controles frente a cinco Trust Services Criteria.
  • El Tipo II evalúa la eficacia de los controles a lo largo de un periodo, no de un momento.
  • Los criterios comunes de seguridad (serie CC) siempre están en alcance.
  • Con frecuencia es imprescindible para cerrar acuerdos enterprise.
Qué exige

Qué exige SOC 2

Un informe Tipo II muestrea la actividad de control en el tiempo. AegisPlane produce esa actividad para tu superficie de IA.

1

Controles de acceso lógico

CC6 exige acceso controlado. El acceso a modelos y proveedores se gobierna con RBAC e identidad OIDC/SAML.

2

Monitoreo del sistema

CC7 exige monitoreo y respuesta. Las métricas y alertas de OpenTelemetry capturan las señales.

3

Gestión de cambios

Los controles son config versionado compilado en bundles firmados, un registro de cambios auditable.

4

Evidencia en el tiempo

Cada acceso, decisión y comprobación se registra de forma continua, acorde al periodo que cubre un Tipo II.

Míralo en acción

Una solicitud, comprobada en tiempo real

Esto es una interacción. AegisPlane clasifica la solicitud, la comprueba frente al marco, bloquea lo que debe y registra la decisión como evidencia. Ocurre en milisegundos, sobre tráfico real.

Valor de negocio

  • Mejora la preparación para ventas enterprise.
  • Fortalece la confianza en la gobernanza de seguridad.
  • Facilita los flujos de auditoría y cuestionarios.
En el AI Control Plane

Cómo produce AegisPlane evidencia SOC 2 para la IA

AegisPlane convierte el tráfico de IA en una fuente de evidencia SOC 2 en el AI Control Plane (AICP), registrando de forma continua la actividad de control que muestrea una auditoría Tipo II.

01

Controles como config

Los controles de acceso, registro y cambios son config versionado compilado en bundles firmados: un estado de control claro y auditable.

02

Aplicado en el gateway

Los controles de acceso lógico (CC6) se aplican en cada solicitud vía RBAC e identidad OIDC/SAML, evaluados por el motor de políticas OPA.

03

Monitoreado de forma continua

El monitoreo del sistema (CC7) se respalda con métricas y alertas de OpenTelemetry, capturando las señales operativas que esperan los auditores.

04

Registrado como evidencia

Cada acceso, decisión de política y cambio se registra según su criterio de Trust Services y es exportable durante todo el periodo de auditoría.

Preguntas frecuentes

Preguntas frecuentes

No. Un informe SOC 2 lo emite una firma de CPA autorizada tras una auditoría. AegisPlane aporta la evidencia de control continua de la parte de IA de tu entorno en la que se apoya esa auditoría.

Principalmente los criterios comunes de seguridad (serie CC) (acceso lógico, monitoreo y cambios) que son los controles observables en runtime sobre el tráfico de IA.

El acceso se gobierna mediante identidad OIDC/SAML y RBAC aplicado en el gateway, y cada decisión se registra como evidencia.

Sí. Los logs son continuos y retenibles, lo que encaja con la naturaleza de periodo de una auditoría Tipo II.

Sí. Muchos equipos persiguen ambos; AegisPlane puede producir evidencia alineada con cada uno sobre el mismo tráfico.

Por qué ahora

Comprobaciones y evidencia continuas, no una evaluación anual obsoleta

La falta de evidencia de IA frena acuerdos enterprise. Cierra la brecha antes del próximo review. Cada framework seleccionado se comprueba sobre tráfico de IA en vivo y la decisión se registra como evidencia, para que la preparación de auditorías deje de ser una urgencia. Sin cambios de código.