Skip to content
← Blog
Empresa

Nuestro camino hacia SOC 2: construyendo confianza empresarial para la gobernanza de agentes de IA

JieGou ha comenzado su auditoría SOC 2 Type II. Esto es por qué SOC 2 importa para plataformas de agentes de IA, qué valida la auditoría y qué significa para clientes empresariales que evalúan la gobernanza de agentes.

JT
JieGou Team · · 5 min de lectura

Por qué SOC 2 importa para plataformas de agentes de IA

Cuando las empresas evalúan plataformas de agentes de IA, la seguridad y el cumplimiento se citan consistentemente como el requisito #1. El 75% de los líderes empresariales dicen que la seguridad, el cumplimiento y la auditabilidad son sus criterios más críticos para el despliegue de agentes.

SOC 2 Type II es el estándar de oro para demostrar que una plataforma SaaS tiene los controles necesarios para proteger los datos de los clientes. No es una autoevaluación — es una auditoría de terceros realizada por una firma CPA independiente, examinando controles durante un período de observación extendido.

Para plataformas de agentes de IA específicamente, SOC 2 valida que:

  • Los datos de clientes procesados por agentes de IA están protegidos
  • Los controles de acceso previenen acciones no autorizadas de agentes
  • Las pistas de auditoría capturan toda la actividad del sistema
  • Los procedimientos de respuesta a incidentes están implementados
  • Los controles de gestión de cambios gobiernan las actualizaciones de la plataforma

Lo que estamos auditando

La auditoría SOC 2 Type II de JieGou cubre los cinco Criterios de Servicios de Confianza:

1. Seguridad (Criterios comunes)

La base de SOC 2. Nuestros controles de seguridad incluyen:

  • Cifrado AES-256-GCM para API keys BYOK (Bring Your Own Key) en reposo
  • Firebase Authentication con gestión de cookies de sesión
  • RBAC de 6 roles (Owner > Admin > Manager > Editor > Viewer) con 20 permisos granulares
  • Límites de tasa respaldados por Redis en endpoints LLM (30 solicitudes/min por usuario)
  • Circuit breaker por proveedor para resiliencia LLM

2. Disponibilidad

Controles de tiempo de actividad y confiabilidad de la plataforma:

  • Despliegue en Kubernetes en EKS con auto-escalado
  • Endpoints de verificación de salud con monitoreo estructurado
  • Cola de mensajes muertos para operaciones asíncronas fallidas con lógica de reintento específica por categoría
  • Vigilante de ejecuciones detenidas para recuperación de ejecución de flujos de trabajo

3. Integridad del procesamiento

Asegurar que las salidas de los agentes de IA sean completas, válidas y precisas:

  • Marco de pruebas bakeoff con evaluación LLM-as-judge
  • CI de salud de plantillas con puntuación de calidad automatizada
  • Bucles de convergencia para mejora iterativa de calidad
  • Evaluación multi-juez con confianza estadística (tau de Kendall, rho de Spearman)

4. Confidencialidad

Protección de datos empresariales sensibles:

  • Controles de residencia de datos con clasificación por categoría (HIPAA/GDPR/PCI-DSS/SOX/FedRAMP)
  • Cifrado BYOK para que las API keys de los clientes nunca salgan de su control
  • Acceso a datos con alcance departamental asegurando que los agentes solo vean datos relevantes para su departamento
  • Controles de visibilidad de ejecuciones con 4 alcances: privado, departamento, cuenta, grupo

5. Privacidad

Prácticas de manejo de datos de clientes:

  • Registro de auditoría con 30 tipos de acción, disparar-y-olvidar
  • Cronología de cumplimiento para historial visual de eventos de gobernanza
  • Exportación de evidencia con 17 controles TSC en 8 categorías
  • Manejo de datos preparado para GDPR con políticas de retención configurables

La cronología de la auditoría

Nuestra auditoría SOC 2 Type II comenzó el 5 de marzo de 2026, con un período de observación de 12 meses:

  • Marzo 2026: Comienza el período de servicio, monitoreo continuo de Vanta activo
  • Continuo: Los controles se monitorean y la evidencia se recopila automáticamente
  • Marzo 2027: Finaliza el período de observación, se emite el informe de auditoría

Elegimos Type II (vs. Type I) porque requiere demostrar que los controles no solo están diseñados sino operando efectivamente a lo largo del tiempo. Una auditoría Type I es una instantánea en un momento dado. Una auditoría Type II demuestra cumplimiento sostenido — que es lo que los clientes empresariales realmente necesitan.

Lo que esto significa para los clientes

Para las empresas que evalúan JieGou:

  1. “SOC 2 Type II — Auditoría en progreso” significa que nos hemos comprometido con la validación de terceros de nuestros controles de seguridad. La auditoría está activa y se monitorea continuamente.

  2. Nuestro stack de gobernanza es la base para SOC 2. La arquitectura de gobernanza de 10 capas, el registro de auditoría, RBAC y los controles de cumplimiento que construimos para la gobernanza de agentes de IA son los mismos controles que la auditoría SOC 2 valida.

  3. La exportación de evidencia ya está disponible. No necesita esperar a que la auditoría se complete. La exportación de evidencia de JieGou cubre 17 controles TSC en 8 categorías — estructurada para su propio equipo de cumplimiento.

Cómo se compara JieGou

La mayoría de las plataformas nativas de agentes (CrewAI, LangGraph, AutoGen) no tienen certificación SOC 2 ni auditorías en progreso. Las plataformas de automatización empresarial (Zapier, Make) tienen SOC 2, pero no proporcionan controles de gobernanza específicos para agentes. JieGou combina ambos: certificación de seguridad de nivel empresarial con gobernanza de agentes de IA construida específicamente.

Conozca más sobre la seguridad y cumplimiento de JieGou:

soc2 security compliance enterprise trust audit vanta

Explore more

📖 AI Governance ⚙️ Enterprise Plan ⚙️ Why JieGou?
Compartir este artículo

Artículos relacionados

Prueba de penetración SOC 2 completada: Qué significa para los clientes empresariales

La prueba de penetración SOC 2 de JieGou está completa con todos los hallazgos resueltos. Esto es lo que este hito significa para nuestra postura de seguridad empresarial y el camino hacia la certificación Type I.

El mercado ha hablado: la gobernanza es la prioridad #1

La encuesta State of Agentic AI 2026 de CrewAI confirma lo que JieGou ha creído desde el inicio: la seguridad y la gobernanza son la prioridad #1 empresarial para plataformas de agentes de IA con el 34% de los compradores.

Por qué el versionado no es gobernanza: la brecha entre control de despliegue y seguridad de IA

Zapier lanzó el versionado de agentes. Es una buena función, pero el versionado es control de despliegue, no gobernanza. Aquí está la diferencia y por qué importa.

¿Le gustó este artículo?

Reciba consejos sobre flujos de trabajo, actualizaciones de producto y guías de automatización en su bandeja de entrada.

No spam. Unsubscribe anytime.

← Volver a todos los artículos