ActivoDigital
Custodia documental verificable
13 normativas mapeadas · pipeline auditable · evidencia firmada

Cumplimiento que no se declara, se demuestra.

Cada decisión que toma el sistema y cada documento que se firma atraviesa un pipeline normativo de diez etapas. Cada etapa deja su rastro firmado en la cadena de custodia. Cuando llegue el auditor, la respuesta es verificable en milisegundos —en cualquier SIA de la red IA Orgánica, comprobable públicamente en ActivoDigital.

10 etapasPipeline auditable
13 normativasMapeadas a artículos
SHA-512 + cadenaEvidencia por decisión
Verificable offlineSello federado independiente
Pipeline normativo

Diez etapas que dejan rastro firmado.

No es una arquitectura "compliant by design" sobre papel. Es un pipeline operativo donde cada decisión recorre las diez etapas y cada una registra su evento en la cadena de custodia, con su artículo normativo asociado.

01
ORQ
El sistema clasifica la petición
02
INTENT
Detección de intención
03
AI ACT
Clasificación de riesgo IA
04
ETHICS
Filtros éticos y de uso
05
EJEC
Ejecución de la acción
06
CATALOG
Catalogación del resultado
07
FW
Firewall semántico
08
AUDIT
Registro auditable
09
SHA-512
Sellado en cadena con triple sellado post-cuántico
10
NORMA
Vinculación a artículos
Cobertura normativa

Trece normativas mapeadas a artículos concretos.

Cada evento en la cadena de custodia lleva referencia a los artículos normativos que satisface. Cuando el auditor pregunta "demuéstrame el cumplimiento del Art. 12 del AI Act", la respuesta sale del sistema, no de un dossier en Word.

UE 2024/1689 Activa
AI Act
Reglamento europeo de inteligencia artificial. Clasificación de riesgo, transparencia, supervisión humana y trazabilidad obligatoria para sistemas de IA.
Artículos cubiertos
Art. 12 (registro de eventos) · Art. 13 (transparencia) · Art. 14 (supervisión humana) · Art. 50 (transparencia con usuarios)
UE 2016/679 Activa
GDPR
Reglamento general de protección de datos. Bases legítimas, minimización, derecho de acceso, supresión y portabilidad.
Artículos cubiertos
Art. 5 (principios) · Art. 22 (decisiones automatizadas) · Art. 30 (registro de actividades) · Art. 32 (seguridad)
ISO 27001 Activa
Seguridad de la información
Sistema de gestión de seguridad de la información (SGSI). Control de accesos, criptografía, gestión de incidentes y continuidad.
Controles cubiertos
A.5 (políticas) · A.8 (gestión de activos) · A.10 (criptografía) · A.12 (operaciones) · A.16 (incidentes)
ISO 42001 Activa
Gestión de IA
Sistema de gestión de inteligencia artificial. Primera norma internacional dedicada a la gobernanza, riesgos y ciclo de vida de sistemas IA.
Cláusulas cubiertas
Cl. 6 (planificación) · Cl. 7 (soporte) · Cl. 8 (operación) · Cl. 9 (evaluación del desempeño)
ISO 22301 Activa
Continuidad de negocio
Sistema de gestión de continuidad. Análisis de impacto, planes de recuperación, pruebas periódicas y resiliencia operativa.
Cláusulas cubiertas
Cl. 8.2 (BIA) · Cl. 8.4 (estrategias) · Cl. 8.5 (planes) · Cl. 9.1 (medición)
UE 2022/2555 Activa
NIS2
Directiva de ciberseguridad para entidades esenciales e importantes. Gestión de riesgos, notificación de incidentes y supervisión reforzada.
Artículos cubiertos
Art. 21 (medidas técnicas) · Art. 23 (notificación incidentes) · Art. 24 (uso esquemas certificación)
UE 2022/2554 Activa
DORA
Resiliencia operativa digital para sector financiero. Gestión de riesgos TIC, pruebas, gestión de terceros y reporte de incidentes graves.
Artículos cubiertos
Art. 5-15 (gestión riesgos TIC) · Art. 17-23 (incidentes) · Art. 24-27 (pruebas resiliencia)
RD 311/2022 Activa
ENS
Esquema Nacional de Seguridad. Marco español de seguridad para sector público y proveedores. Categorización por niveles BÁSICO/MEDIO/ALTO.
Medidas cubiertas
op.acc (control acceso) · op.exp (explotación) · op.mon (monitorización) · mp.info (protección información)
UE 2024/2847 Activa
Cyber Resilience Act (CRA)
Requisitos de ciberseguridad para productos con elementos digitales. Gestión de vulnerabilidades, actualizaciones y duty of care del fabricante.
Anexos cubiertos
Anexo I (requisitos esenciales) · Art. 13 (vulnerabilidades) · Art. 14 (notificación)
ISO 27018 Activa
PII en la nube
Protección de información personal identificable en servicios cloud actuando como procesador. Consentimiento, transparencia y minimización.
Controles cubiertos
A.1-A.18 (controles GDPR-aligned) + A.11 (criptografía PII) + extensiones cloud
ISO 27701 Activa
Gestión de privacidad
Sistema de gestión de privacidad de información (PIMS). Extensión de ISO 27001/27002 para tratar datos personales.
Cláusulas cubiertas
Cl. 5 (PIMS específico) · Cl. 6 (responsable) · Cl. 7 (procesador) · Anexo A (mapeo GDPR)
AEPD · CNIL Activa
Guías de autoridades
Guías de la Agencia Española de Protección de Datos y de la Commission Nationale de l'Informatique et des Libertés sobre IA y datos personales.
Referencias cubiertas
AEPD: guía IA + decisiones automatizadas · CNIL: référentiel IA + analyse d'impact
AICPA TSC Activa
SOC 2
Service Organization Controls Type 2. Criterios de servicios de confianza: seguridad, disponibilidad, integridad, confidencialidad y privacidad.
Trust Services Criteria
CC1-CC9 (security) · A1 (availability) · PI1 (integrity) · C1 (confidentiality) · P1-P8 (privacy)
El cambio de juego

De informe de cumplimiento a evidencia consultable.

La diferencia entre "lo cumplimos" y "podemos demostrarlo" se mide en minutos cuando llega una auditoría, una inspección o una reclamación. Aquí está el cuadro.

2 ms
Verificación bajo demanda
Lo que tarda el sistema en confirmar que una decisión existe, está íntegra y satisface su artículo normativo.
Diaria
Verificación nocturna
Cron diario que recalcula la cadena entera y alerta de cualquier divergencia frente a lo firmado.
Diario
Anclaje Merkle
Raíz diaria sellada con el sello híbrido Ed25519 + ML-DSA-87 (post-cuántico) federado. La evidencia sobrevive a la disponibilidad del sistema.
0
Dossiers manuales
El informe de cumplimiento no se escribe a mano. Se consulta. El auditor accede al detalle por trace_id.
Siguiente paso

¿Y si tu auditoría se resolviese consultando?

Verifica cómo se reconstruye una evidencia, o pide una conversación con el equipo para mapear tu marco regulatorio a nuestra cadena.