Conformidad normativa

Compliance & Seguridad

Diseñado para auditores, no contra ellos. Cada decisión arquitectónica se tomó bajo el aspecto de la conformidad normativa — no se adaptó posteriormente.

Enfoque de cumplimiento

Compliance by Design — no por checklist

AIMOS no cumple los requisitos de protección de datos y seguridad mediante adaptación posterior, sino mediante decisiones arquitectónicas. Tres principios de diseño recorren todo el sistema:

Los datos permanecen locales

Todo el procesamiento en su servidor. Ningún byte abandona su red — a menos que usted lo permita explícitamente.

El ser humano decide

El agente prepara, el ser humano aprueba. Sin envío automático, sin contabilización automática.

Todo registrado

Registro de auditoría completo: quién solicitó qué y cuándo, qué herramienta se utilizó, qué respuesta se obtuvo.

Protección de datos de la UE

RGPD / DSGVO

AIMOS cumple el RGPD no mediante adaptación posterior, sino mediante decisiones arquitectónicas — Privacy by Design.

Art. 25 — Protección de datos mediante diseño técnico

  • Procesamiento de datos local por defecto (SovereignNode)
  • PII-Vault (Personally Identifiable Information — protección de datos personales) anonimiza antes de cada transmisión externa
  • Sin servicio en la nube en la configuración estándar
  • Minimización de datos: solo datos de contexto relevantes en el prompt LLM

Art. 32 — Seguridad del procesamiento

  • Cifrado: PostgreSQL SSL, SQLite en disco
  • Control de acceso mediante Execution Rings (3 niveles)
  • Registro de auditoría completo de todos los procesos
  • Mapeos PII vinculados a la sesión (sin almacenamiento PII persistente)

EU AI Act

Reglamento europeo de IA

Clasificación de riesgos · Transparencia · Supervisión humana · Documentación

Vigente a partir de agosto de 2026

Regulación de la UE

EU AI Act (Reglamento de IA)

El Reglamento de IA de la UE (UE) 2024/1689 entra en vigor de forma escalonada y afecta a toda empresa que utilice sistemas de IA. AIMOS está diseñado arquitectónicamente para el cumplimiento — no adaptado posteriormente.

Clasificación de riesgos: Riesgo limitado

Los agentes AIMOS son sistemas de asistencia con supervisión humana (Human-in-the-Loop). Sin decisiones autónomas sobre personas, sin vigilancia biométrica, sin funciones de puntuación social. Por lo tanto, entran en la categoría de «riesgo limitado» — no «alto riesgo».

Obligación de transparencia: Cumplida

Art. 50: Los usuarios deben saber que interactúan con una IA. Cada agente AIMOS se identifica en su prompt de sistema como asistente de IA. Todas las acciones son rastreables en el registro de auditoría.

Supervisión humana: Impuesta arquitectónicamente

Art. 14: Los Execution Rings garantizan que ningún agente ejecute acciones críticas por su cuenta. Contabilizaciones, correos electrónicos y pedidos se presentan como borrador — el ser humano decide.

Documentación técnica: Completa

Art. 11: Arquitectura del sistema, flujos de datos, descripción del modelo, indicadores de rendimiento y evaluación de riesgos están documentados y accesibles. Licencia MIT: acceso completo al código fuente.

Registro: Completo

Art. 12: Cada acción de agente se registra — llamadas a herramientas, solicitudes LLM, consumo de tokens, cadenas de decisiones. Registros de auditoría a prueba de revisiones con IDs de sesión y marcas de tiempo.

Soberanía de datos: Completa

Art. 10: Los datos de entrenamiento y procesamiento no abandonan el SovereignNode. PII-Vault anonimiza las llamadas API externas automáticamente. Sin dependencia de la nube.

Ventaja de la IA local

Los servicios de IA en la nube deben cumplir requisitos más estrictos como «General Purpose AI» (GPAI). AIMOS utiliza un modelo de código abierto operado localmente — las obligaciones GPAI recaen sobre el proveedor del modelo (Alibaba/Qwen), no sobre el operador.

Conformidad con normas

ISO & GoBD

ISO 9001 & 27001 · GoBD

Conformidad con normas

ISO 9001 & 27001

AIMOS cumple los requisitos de ambos estándares mediante mecanismos integrados.

ISO 9001 — Gestión de calidad

  • Trazabilidad: Cada decisión en el registro de auditoría
  • Rastreabilidad: Los IDs de sesión vinculan todos los eventos
  • Procesos documentados: Prompts de sistema como SOPs
  • Medidas correctivas: El ciclo Dreaming aprende de los errores

ISO 27001 — Seguridad de la información

  • Clasificación: Los Execution Rings definen niveles de acceso
  • Control de acceso: Activación de herramientas configurable por agente
  • Registro de eventos: Los 6 tipos de eventos registrados
  • Seguridad física: Los datos no abandonan el SovereignNode

Contabilidad

Conformidad con GoBD

El GoBD (Principios para la correcta gestión y conservación de libros, registros y documentos en formato electrónico) establece requisitos especiales para los sistemas basados en IA.

AIMOS resuelve esto mediante una estricta separación arquitectónica:

Separación: Borrador vs. Consolidación

Los agentes preparan asientos contables (Borrador). La Consolidación se realiza exclusivamente por personal autorizado en el sistema destino (ETA V8, DATEV, etc.). Ningún LLM tiene derechos de transacción.

Human-in-the-Loop

Las acciones de Ring 2 (accesos de escritura) requieren activación explícita. Los procesos relevantes para la contabilidad siempre requieren aprobación humana — impuesto arquitectónicamente, no mediante políticas.

Agente financiero Crea borrador contable BORRADOR Asiento contable (no consolidado) REVISIÓN HUMANA El responsable revisa y aprueba CONSOLIDACIÓN Im Zielsystem (ETA, DATEV, etc.)

Protección de datos mediante técnica

Así lo implementa AIMOS técnicamente

PII-Vault · Audit-Trail · Execution Rings · Token-Tracking

Soberanía de datos

Localización de datos

Todos los datos permanecen en su SovereignNode. Ningún byte abandona su red — a menos que usted lo permita explícitamente.

SovereignNode (Su servidor) Canales de usuario Procesos de agentes PostgreSQL + SQLite LLM (runtime local) PII-Vault Anonimización De-Anonimización Externo (opcional) Cloud-LLM API Web-Search API anonimizado Interno (seguro) Via PII-Vault (anonimizado) Externo (solo datos anonimizados)

Motor de protección de datos

PII-Vault

Anonimización automática de datos personales antes de cada llamada API externa.

Usuario "Max Müller tiene" "3000 EUR pagados" Agent Procesamiento PII-Vault Anonimizar "[PER_1] tiene" "[AMT_1] bezahlt" API externa Cloud-LLM PII-Vault De-Anonimizar "Max Müller tiene" "3000 EUR pagados" Usuario Completa Respuesta Mapeo (vinculado a la sesión) [PER_1] = "Max Müller" [AMT_1] = "3000 EUR"
Session

Los mapeos están vinculados a la sesión y no se almacenan de forma persistente

Regex + NER

Detección mediante patrones Regex y Named Entity Recognition

Audit

Cada anonimización se documenta en el registro de auditoría

Registro

Audit-Trail

Cada acción de agente se registra sin excepción. El Audit-Trail captura seis tipos de eventos:

SYSTEM_PROMPT Prompt de sistema completo para trazabilidad
REQUEST Eingehende Usuario-Anfrage
RESPONSE Completa Agenten-Respuesta
TOOL_START Llamada a herramienta con parámetros
TOOL_OK Resultado de herramienta (éxito o error)
LLM_USAGE Consumo de tokens, modelo, latencia
// Ejemplo: Entrada de registro de auditoría
{
  "id": 42847,
  "timestamp": "2026-03-22T14:32:17.445Z",
  "session_id": "ses_7f3a2b91",
  "agent": "logistik",
  "event_type": "TOOL_START",
  "tool": "sql_query",
  "ring": 1,
  "params": {
    "connector": "uyumsoft_db",
    "query": "SELECT item, qty FROM stock WHERE qty < 10"
  },
  "user_id": "tg_12345",
  "pii_anonymized": false
}
// Entrada LLM_USAGE correspondiente
{
  "event_type": "LLM_USAGE",
  "session_id": "ses_7f3a2b91",
  "model": "qwen3.5:27b",
  "prompt_tokens": 2847,
  "completion_tokens": 312,
  "total_tokens": 3159,
  "latency_ms": 4280,
  "cognitive_balance": 3
}

Control de acceso

Execution Rings — Niveles de confianza

Cómo los Execution Rings previenen acciones no autorizadas.

Ejemplo: Agente (Ring 1) intenta file_write (Ring 2) Agente de logística Ring 1 (Estándar) file_write() Ring-Dispatcher Ring-Check: 1 < 2 BLOQUEADO "La herramienta file_write requiere Ring 2" Entrada de registro de auditoría TOOL_BLOCKED | agent=logistik | tool=file_write | required=2 | actual=1

Supervisión de recursos

Token-Tracking

Cada llamada LLM se documenta con el consumo exacto de tokens, nombre del modelo y latencia.

Prompt + Completion

Desglose exacto en prompt_tokens y completion_tokens por solicitud.

Medición de latencia

Cada solicitud LLM se registra con latency_ms, incluyendo nombre del modelo y contexto de sesión.

Cognitive Balance

Las llamadas LLM restantes por sesión se registran como cognitive_balance.

Demostrabilidad

Seguridad de revisión

Trazabilidad completa de cada decisión asistida por IA.

Token-Tracking

Cada llamada LLM se documenta con el consumo exacto de tokens (Prompt + Completion), nombre del modelo y latencia.

Completar Trail

Desde la solicitud del usuario, pasando por llamadas a herramientas, hasta la respuesta — cada paso es rastreable con marca de tiempo e ID de sesión.

PII-Vault Traces

Mapeos de anonimización vinculados a la sesión. Rastreable qué datos se anonimizaron y des-anonimizaron y cuándo.

Inspección del código fuente

Licencia MIT: Los auditores pueden revisar cada línea de código. Sin caja negra, sin lógica propietaria.

Demostrable mediante Audit-Logs · PII-Vault Traces · Session-IDs · Token-Tracking · Inspección del código fuente