Identity & Trust
AI Governance LATAM — CultureTech Playbook
ai governance security latam
El contexto
La regulación de IA en LATAM está emergiendo. Chile tiene en discusión la Ley Marco de Inteligencia Artificial. Brasil tiene PL 2.338/2023. La UE tiene AI Act vigente y empieza a afectar a empresas LATAM que operan o exportan a Europa.
Mientras tanto, los equipos de ingeniería están desplegando agentes en producción sin marco de governance, asumiendo que “es solo un endpoint LLM más”. No lo es.
Las 4 dimensiones que cualquier organización debe cubrir
1. Identidad criptográfica del agente
Cada agente desplegado debe tener identidad criptográfica verificable, no una API key compartida. Patrón recomendado:
- SPIFFE/SPIRE para emisión y rotación de identidades.
- mTLS entre agente y servicios consumidos.
- JWT firmado por SPIRE para auditoría de cada acción.
Anti-patrón: agentes que usan la misma OPENAI_API_KEY entre múltiples deployments. Imposible auditar “qué agente hizo qué”.
2. Trazabilidad de la inferencia
Cada inferencia debe quedar registrada con:
- Prompt completo (o hash si contiene PII).
- Modelo usado + versión.
- Output completo.
- Tools invocados durante la inferencia (MCP, function calling, etc.).
- Latencia y costo.
Sin este registro, no hay auditoría posible. Y sin auditoría, el día que regulación pregunte “¿por qué el agente tomó esta decisión?”, la respuesta es “no sabemos”.
3. Evaluación continua en producción
No basta con evaluar el agente en el ambiente de QA. La distribución de inputs en producción difiere, drift ocurre, y un modelo bueno en benchmark puede ser inseguro en datos reales.
Tres tipos de evaluación a tener en pipeline:
- Refusal rate — qué porcentaje de queries el agente rechaza (idealmente bajo para queries legítimas, alto para queries problemáticas).
- Hallucination rate — qué porcentaje de outputs contienen afirmaciones no respaldadas por contexto.
- Bias indicators — distribución demográfica de outputs, si aplica.
4. Compliance regional explícita
Mapear las restricciones aplicables:
| Regulación | Aplica a | Punto clave |
|---|---|---|
| Ley Marco AI Chile (discusión) | Cualquier sistema IA usado en Chile | Clasificación de riesgo, transparencia |
| PL 2.338/2023 Brasil | Sistemas IA con efectos en Brasil | Derechos del afectado, accountability |
| EU AI Act | Empresas exportando o procesando datos UE | Sistemas de alto riesgo, conformity assessment |
| CMF Chile (banca) | IA en decisiones crediticias | Explicabilidad, no-discriminación |
Cómo CultureTech lo aborda
Aether Telemetry tiene contracts semánticos para IA que evalúan en tiempo real si un agente está violando políticas declaradas (sesgo, hallucination, refusal). Themis consume esa señal y puede intervenir (pausa el agente, escala a humano).
La identidad criptográfica viene de SPIFFE/SPIRE integrado en el agent runtime.
Checklist de pre-producción
Antes de subir un agente a producción:
- El agente tiene identidad SPIFFE única y rotable.
- Toda inferencia se registra con prompt, output, tools.
- Hay un pipeline de evaluación continua midiendo refusal + hallucination + bias.
- Existe runbook para “pausar el agente en producción” — y la persona oncall sabe ejecutarlo.
- La regulación aplicable está mapeada en un doc + responsable asignado.
- Hay un mecanismo de feedback humano-en-el-loop para casos críticos.
Si alguna casilla no se cumple, el agente no está listo para producción — sin importar qué tan impresionante sea su demo.
¿Necesitas ayuda?
Si tu organización está desplegando agentes y este checklist se siente imposible: Assessment de 30 minutos, gratis.