Toda plataforma reclama gobernanza. Así se distingue quién lo dice en serio.
Algo interesante ocurrió a principios de 2026: la gobernanza se convirtió en un argumento de venta. OpenAI lanzó Frontier con “identidad de agente, permisos explícitos y acciones auditables.” Microsoft Copilot Studio añadió humano en el circuito y evaluaciones de agentes. Salesforce Agentforce promovió el Einstein Trust Layer. ServiceNow lanzó el AI Control Tower.
La gobernanza ya no es exclusiva de JieGou. Pero aquí está el problema: no toda la gobernanza es igual.
La ilusión de las 2 capas
Cuando las plataformas dicen “gobernanza”, típicamente se refieren a dos cosas:
- Identidad y autenticación — quién puede acceder al sistema
- Permisos o controles básicos — qué pueden hacer los agentes
Estas son las capas 1 y 2 de un stack de gobernanza de 10 capas. Protegen quién entra. No protegen lo que sucede después.
Considere lo que la gobernanza de 2 capas no puede responder:
- Cuando un agente selecciona una herramienta de forma autónoma, ¿quién aprobó el acceso a la herramienta?
- Cuando un agente escala una decisión, ¿cuál es la jerarquía de aprobación en cascada?
- Cuando un auditor pide evidencia de gobernanza de IA, ¿qué exporta?
- Cuando la EU AI Act requiere un marco de gestión de riesgos, ¿qué artículo se mapea a qué control?
Cómo se ven realmente 10 capas
El stack de gobernanza de JieGou tiene 10 capas, cada una abordando una preocupación de gobernanza distinta:
| Capa | Nombre | Qué protege |
|---|---|---|
| 11 | Cumplimiento regulatorio | Mapeo de EU AI Act, HIPAA, GDPR, SOX, FedRAMP |
| 10 | Exportación de evidencia | 17 controles TSC, 8 categorías para auditores |
| 9 | Línea de tiempo de cumplimiento | Registro visual de todos los eventos de gobernanza |
| 8 | Registro de auditoría | 30 tipos de eventos, fire-and-forget, metadatos estructurados |
| 7 | Puertas de aprobación de herramientas | Aprobación por herramienta, por rol antes de la ejecución |
| 6 | Protocolos de escalamiento | Jerarquía en cascada de 6 roles con humano en el circuito |
| 5 | Control de acceso basado en roles | 5 roles, más de 20 permisos, alcance departamental |
| 4 | Gestión de entornos | Aislamiento dev/staging/prod |
| 3 | Controles de residencia de datos | Manejo de datos por región específica |
| 2 | Capa de cifrado | AES-256-GCM en reposo, TLS 1.3 en tránsito |
| 1 | Identidad y autenticación | SSO/SAML/OIDC, gestión de sesiones |
Las capas 1-2 son el mínimo indispensable — toda plataforma las tiene. Las capas 3-10 son donde la gobernanza se vuelve real. Y ahí es donde la mayoría de las plataformas se detienen.
Los requisitos regulatorios demandan profundidad
La EU AI Act no solo requiere “algo de gobernanza.” El Artículo 9 exige un sistema integral de gestión de riesgos. Así es como artículos específicos se mapean a capas de gobernanza:
- Art. 9 (Gestión de riesgos): Requiere un sistema de gestión de riesgos que cubra todo el ciclo de vida de la IA — eso son las capas 1 a 10, no solo autenticación.
- Art. 11 (Documentación técnica): Requiere documentación exportable del comportamiento del sistema de IA — eso es la capa 10 (exportación de evidencia).
- Art. 12 (Mantenimiento de registros): Requiere registro automático de eventos — eso son las capas 8 (registro de auditoría) y 9 (línea de tiempo de cumplimiento).
- Art. 14 (Supervisión humana): Requiere supervisión humana efectiva — eso son las capas 6 (escalamiento) y 7 (puertas de aprobación de herramientas).
Una plataforma con 2 capas cubre el Art. 14 parcialmente en el mejor caso. No cubre nada del Art. 9, 11 o 12.
La comparación con competidores
Esta es la realidad en las principales plataformas:
| Plataforma | Capas de gobernanza | Qué falta |
|---|---|---|
| JieGou | 10/10 | Nada |
| OpenAI Frontier | ~2/10 | Capas 3-10: sin residencia de datos, sin gestión de entornos, sin puertas de aprobación de herramientas, sin línea de tiempo de cumplimiento, sin exportación de evidencia, sin mapeo regulatorio |
| Microsoft Copilot Studio | ~2/10 | Mismas brechas: HITL es una capa 6 parcial, evaluaciones son una capa 7 parcial, pero sin registro de auditoría, sin exportación de evidencia, sin mapeo regulatorio |
| Salesforce Agentforce | ~2/10 | Trust Layer cubre autenticación y permisos básicos de CRM, pero sin gobernanza inter-departamental, sin exportación de evidencia, sin mapeo regulatorio |
| ServiceNow | ~2/10 | AI Control Tower proporciona monitoreo pero no el stack completo de gobernanza para cumplimiento regulatorio |
Cuente las capas
La próxima vez que un proveedor diga “nuestra plataforma tiene gobernanza”, pregúntele: ¿Cuántas capas? ¿Puede mostrarme el stack de gobernanza? ¿Cómo se mapea a los artículos de la EU AI Act? ¿Puede exportar evidencia para auditores SOC 2?
Si no puede responder las cuatro preguntas, tiene autenticación con una etiqueta de gobernanza.
Vea el stack completo de gobernanza de 10 capas con visualización interactiva en Stack de gobernanza de JieGou. ¿Listo para desplegar flujos de trabajo de IA gobernados? Inicie su prueba empresarial.