Saltar al contenido
Inscríbete a la newsletter
en_US ENGit_IT ITA
    Quiénes somos
    Hybrid AI
    Oferta
    Sectores
      ¿En qué industria estás interesado?
      Descubre todas las industrias
      Seguros
      Mitiga el riesgo con IA, acelerar el cierre de acuerdos y ampliar la capacidad operativa en todas las fases de los procesos de seguros.
      Industria Farmacéutica
      Acelera los procesos de toma de decisiones, reducir los tiempos de revisión regulatoria y poner los medicamentos y tratamientos a disposición más rápidamente.
      Editorial y Servicios de Información
      Optimiza la creación y el enriquecimiento de contenidos mejorando los flujos de trabajo y las tareas manuales.
      Banca y Servicios Financieros
      Cumplimiento normativo, reducción de riesgos relacionados con clientes y delitos financieros, y aumento de la eficiencia mediante automatización inteligente.
      Industrial
      Optimiza el servicio al cliente, simplifica la gestión del conocimiento corporativo y reduce el tiempo y los costos operativos.
      Administración Pública e Inteligencia
      Ciudadanos más satisfechos gracias a servicios digitales y personalizados. Procesos administrativos más rápidos y eficientes.
ExpertAIPolítica de Calidad y Seguridad de la Información

Política de Calidad y Seguridad de la Información

1. Introducción

La información es uno de los factores más cruciales que impulsan la economía moderna y constituye un elemento significativo en el desarrollo y la gestión empresarial. La recopilación de datos e información procesada por Expert.ai, independientemente de la forma en que se gestionen o almacenen, constituye el Activo de Información de la empresa. Este activo constituye un elemento competitivo de importancia fundamental, que orienta tanto las decisiones tácticas como estratégicas y respalda los procesos operativos de la compañía. Expert.ai abarca todas las compañías del grupo.

En el contexto actual de mercados dinámicos y en constante cambio, las tecnologías facilitan la recopilación y el procesamiento rápido y eficiente de la información para alcanzar los objetivos empresariales. El aumento de la competencia obliga a las empresas a buscar nuevas formas de interacción con los clientes, fomentando la exploración de soluciones basadas en tecnologías emergentes y el desarrollo de canales innovadores diseñados para gestionar una cantidad cada vez más amplia de información de alto valor.

En este contexto, se están produciendo cambios profundos y rápidos que generan exposición a nuevos escenarios de riesgo. Por ello, es esencial supervisar de manera continua e inmediata la innovación para implementar medidas de protección y mitigación de riesgos de forma oportuna. Este enfoque contribuye a satisfacer la creciente demanda de seguridad por parte de los clientes y protege el valor y la competitividad de la empresa.

Asimismo, la protección y la gestión segura de la información son temas relevantes en las normativas nacionales e internacionales, cada vez más estrictas. Estas normativas exigen, desde el punto de vista organizativo, que existan comportamientos, sistemas de control y acciones orientadas a la protección de la información.

La protección de los Activos de Información es, por tanto, de importancia estratégica, originada en el establecimiento de normativas de referencia adecuadas que orienten las intervenciones organizativas, tecnológicas y regulatorias necesarias. El desarrollo de software de inteligencia artificial constituye el núcleo del negocio de la organización, que se ha dotado a lo largo del tiempo de tecnologías de vanguardia basadas en inteligencia artificial para la comprensión del lenguaje natural, adecuadas para este propósito.

El mercado actual, cada vez más exigente y selectivo, requiere métodos que garanticen que el servicio o producto final posea características que lo hagan fácilmente asimilable por los clientes y conforme a las normativas y estándares internacionales. Reconociendo esta necesidad, la organización ha adoptado un Sistema Interno de Gestión de Calidad y Seguridad de la Información.

2. Motivación

Expert.ai es una empresa que opera en el ámbito de la Tecnología de la Información y la Comprensión del Lenguaje Natural. Dada la naturaleza de sus actividades, la organización considera que la calidad y la seguridad de la información son características esenciales para garantizar la protección de su infraestructura tecnológica, sus activos de información y sus procesos empresariales. Además, la gestión de la calidad y la seguridad de la información representa una ventaja competitiva en los procesos de diseño y desarrollo de sus productos y servicios.

Con respecto a la seguridad de la información, Expert.ai diseña y desarrolla tecnologías para transformar la manera en que las personas encuentran, comprenden y utilizan la información. En consecuencia, la seguridad de la información es considerada por la Alta Dirección de la organización como un factor indispensable para garantizar la calidad de sus productos.

La misión de Expert.ai es desarrollar software de inteligencia artificial que comprenda el lenguaje de las personas, con la velocidad y precisión necesarias para discernir, gestionar y utilizar información estratégica a gran escala. Este enfoque en los procesos de gestión de la información requiere una atención especial a su seguridad y calidad.

Asimismo, la organización aspira a posicionarse como la empresa líder en el desarrollo de inteligencia artificial en el mercado internacional. Por lo tanto, el compromiso con la mejora continua de sus procesos, tanto a nivel organizativo como técnico, es imperativo.

Con base en ello, Expert.ai tiene la intención de implementar las medidas técnicas y organizativas necesarias para garantizar la integridad, la confidencialidad y la disponibilidad de sus activos de información.

3. Propósito y compromiso

La Alta Dirección, reconociendo la importancia de la imagen de la organización ante su base de clientes y con el objetivo de alcanzar metas de calidad en la gestión de procesos y en la prestación de servicios, tiene la intención de mantener activamente y mejorar de manera continua un Sistema Integrado de Gestión de Calidad y Seguridad de la Información (ISQMS), conforme a las normas ISO 9001, ISO/IEC 27001 y las directrices relacionadas ISO/IEC 27017 e ISO/IEC 27018. Todo ello con el objetivo de gestionar la organización de manera eficiente y eficaz, garantizando su continuidad.

Nuestro compromiso se demuestra mediante la adhesión a estándares y certificaciones reconocidos internacionalmente, asegurando que cumplimos y superamos de forma constante las expectativas del sector.

Privacidad y Protección de Datos

En Expert.ai, damos prioridad a la protección de la información personal y a la privacidad de nuestros usuarios. Nuestra adhesión a la norma ISO 27018 sobre Información Personal subraya nuestro compromiso con la protección de los datos personales en servicios en la nube. Esta norma proporciona un código de conducta para la protección de la Información de Identificación Personal (PII), integrándose con nuestro Sistema de Gestión de Seguridad de la Información y Calidad (ISQMS) basado en ISO/IEC 27001:2022. Mediante la implementación de controles específicos, garantizamos la confidencialidad y protección de los datos personales, alineándonos con los estrictos requisitos del Reglamento General de Protección de Datos (RGPD).

Ciberseguridad

Nuestro marco de ciberseguridad es sólido y completo, diseñado para proteger la confidencialidad, la integridad y la disponibilidad de la información. La certificación ISO/IEC 27001:2022 es un testimonio de nuestro riguroso enfoque hacia la gestión de la seguridad de la información. Esta norma nos ayuda a mantener el cumplimiento legal e implementar controles de seguridad eficaces, que son cruciales en el panorama digital actual. Además, nuestra certificación ISO 27017 sobre Seguridad en la Nube proporciona directrices para los controles de seguridad de la información específicos para servicios en la nube, garantizando la seguridad de los datos tanto para nuestros proveedores de servicios en la nube como para nuestros clientes.

Gobernanza de IA

Expert.ai es líder en gobernanza de IA, asegurando que nuestros sistemas de inteligencia artificial se desarrollen y gestionen de manera responsable, cumpliendo con nuestro marco interno del Sistema de Gestión de Seguridad de la Información y Calidad (ISQMS). Nuestro compromiso con altos estándares se ejemplifica en nuestro Informe SOC 2 Tipo II sobre el producto Platform. Este informe, emitido por un auditor externo certificado, refleja nuestra dedicación a mantener estrictos estándares de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Demuestra que nuestras medidas de control interno no solo están bien diseñadas, sino que también operan eficazmente a lo largo del tiempo. Los Criterios de Servicios de Confianza (TSC) incluidos en la supervisión de nuestra plataforma son Seguridad y Disponibilidad, garantizando que nuestros sistemas de IA sean confiables y seguros.

Calidad 

Nuestra certificación ISO 9001:2015 del Sistema de Gestión de la Calidad (QMS), integrada en nuestro ISQMS, destaca nuestra capacidad para proporcionar de manera constante servicios y productos que cumplen con los requisitos del cliente. Esta norma internacional se centra en la calidad del servicio, asegurando que entregamos soluciones de alta calidad que cumplen con los estándares del sector.

Cumplimiento de leyes y regulaciones

El cumplimiento de las leyes y regulaciones pertinentes es un pilar fundamental de nuestras operaciones en Expert.ai. Nuestro Sistema de Gestión de Seguridad de la Información y Calidad (ISQMS), respaldado por nuestras certificaciones integrales, garantiza la protección de la confidencialidad, la integridad y la disponibilidad de la información. Este marco sólido asegura que cumplimos y superamos los requisitos legales, incluyendo el Reglamento General de Protección de Datos (RGPD), la Ley de IA (AI Act) y regulaciones estadounidenses como HIPAA. Al adherirnos a estos estrictos estándares, demostramos nuestro compromiso inquebrantable de mantener los más altos niveles de seguridad y cumplimiento en todas nuestras operaciones.

Para alcanzar estos objetivos, la Alta Dirección y el personal de Calidad y Seguridad de la Información tienen la intención y el compromiso de:

  • Potenciar las actitudes de cada miembro de la organización y garantizar su formación continua y desarrollo profesional.
  • Garantizar la disponibilidad de los recursos necesarios para el funcionamiento y mantenimiento del ISQMS.
  • Promover el desarrollo tecnológico de toda la organización.
  • Asegurar el cumplimiento de las normativas de privacidad (Reglamento UE 2016/679 – RGPD, Reglamento General de Protección de Datos), así como la confidencialidad, integridad y disponibilidad de la información para clientes y partes interesadas.
  • Incrementar la cultura de Calidad y Seguridad de la Información.
  • Motivar y empoderar al personal para contribuir al logro de los objetivos de la empresa.
  • Satisfacer a los clientes para fortalecer la posición de la empresa en el mercado.
  • Garantizar el cumplimiento de los plazos programados para la implementación de proyectos.
  • Involucrar a proveedores estratégicos y empresas subcontratadas en la prestación de servicios de calidad y en el cumplimiento de los Acuerdos de Nivel de Servicio (SLA).
  • Minimizar los riesgos operativos y la posibilidad de infracciones relacionadas con Decretos Legislativos y Regulaciones (p. ej., 231/01, Ley de IA, DORA, NIS2, HIPAA).
  • Estandarizar los métodos operativos e implementar controles para reducir errores.
  • Iniciar un ciclo de mejora continua y optimizar el proceso de realización para reducir el tiempo de entrega del servicio.
  • Reconocer, analizar y evaluar las necesidades y expectativas de todas las partes interesadas.
  • Apoyar, difundir y explicar la Política de Calidad y Seguridad de la Información, poniendo a disposición documentos informativos para el personal y promoviendo acciones específicas de formación e implicación.
  • Comunicar esta política a las partes interesadas según corresponda.
  • Definir los objetivos para cada proceso, proporcionando la experiencia y los recursos necesarios para alcanzarlos.
  • Revisar sistemáticamente la política y los objetivos del ISQMS, así como los riesgos asociados a su consecución.

4. Compromiso con la Calidad y la Seguridad de la Información

La calidad y la seguridad de la información, así como la forma en que se garantizan dentro del alcance de los procesos y servicios prestados, son objeto de comunicaciones específicas por parte de las funciones corporativas pertinentes a las partes involucradas. Todos los empleados reciben actualizaciones adecuadas sobre los procesos de calidad y seguridad de la información, así como sobre las medidas implementadas por la organización mediante iniciativas de formación específicas. Además, toda la documentación actualizada relevante para el ISQMS se pone a disposición en un área dedicada de la intranet corporativa.

Con respecto a terceros (clientes y/o proveedores), las comunicaciones relacionadas con la calidad y la seguridad de la información se regulan de acuerdo con las políticas de la empresa que forman parte del ISQMS y las disposiciones contractuales. Expert.ai permite la comunicación y difusión de información a partes externas únicamente para la correcta ejecución de sus actividades, las cuales deben realizarse en cumplimiento de las normas dictadas por los modelos organizativos de la empresa y las regulaciones obligatorias.

Finalmente, se mantienen contactos apropiados con las autoridades competentes en materia de seguridad de datos e información, así como con los organismos y asociaciones pertinentes de ciberseguridad y privacidad. Esto tiene como objetivo proporcionar cooperación en cualquier contingencia y actualizar sus competencias en relación con las áreas de investigación en el campo de la inteligencia artificial.

5. Roles y responsabilidades

El Sistema de Gestión de Calidad y Seguridad de la Información de la organización define los roles y responsabilidades dentro del mismo:

Chief Information Security Officer (CISO): gestiona la gobernanza de la seguridad alineada con los riesgos y objetivos del negocio y garantiza el cumplimiento de las políticas de privacidad y seguridad de la información conforme a los estándares corporativos y las regulaciones legales.

Chief Data Officer (CDO): responsable de desarrollar y gestionar la estrategia de gestión de datos e información de la empresa.

Ingeniero de Ciberseguridad: responsable de diseñar e implementar soluciones de red seguras para defenderse de hackers, ciberataques y otras amenazas persistentes. También es responsable de probar y monitorear los sistemas de la empresa, asegurando continuamente que todas las medidas de seguridad implementadas estén actualizadas y sean funcionales. Esta figura también es responsable de realizar pruebas de penetración (penetration testing).

Especialista en Seguridad Informática y Cumplimiento: responsable de las directrices estratégicas y de implementación relacionadas con las medidas de seguridad en los sistemas de la empresa para mitigar riesgos cibernéticos y para monitorear y analizar eventos de seguridad; revisa los cambios derivados de la aplicación del SGSI en primera instancia y mantiene métricas de evaluación de terceros.

Administradores de TI y Sistemas: responsables de la definición, implementación y mantenimiento técnico de los dispositivos y tecnologías de seguridad que conforman las redes y recursos TIC de la organización que forman parte del Sistema de Gestión de Seguridad de la Información.

Dentro de la documentación relacionada con el sistema de gestión integrado, también se puede encontrar la denominación Departamento de TI, que hace referencia a los técnicos designados y autorizados y a los Administradores de Sistemas, quienes operan los sistemas de la empresa y son responsables de la correcta gestión de dispositivos y redes.

El CISO, CDO, el Especialista en Seguridad Informática y Cumplimiento y el Ingeniero de Ciberseguridad forman parte integral del Equipo de Calidad y Seguridad de la Información, que es el órgano consultivo y de control del Sistema de Gestión de Calidad y Seguridad de la Información y que redacta e implementa sus políticas y procedimientos, los revisa y supervisa su aplicación.

El Equipo de Calidad y Seguridad de la Información también tiene la tarea de promover la cultura de calidad y seguridad de los datos y la información dentro de la organización, planificando cursos específicos y periódicos de formación en seguridad para todo el personal, cooperando con las funciones corporativas internas pertinentes para concienciarlas sobre los riesgos. Este órgano también es responsable de adoptar y seguir metodologías y criterios para el análisis y gestión de riesgos y de sugerir medidas de seguridad organizativas, procedimentales y técnicas para proteger la seguridad de la organización y la continuidad de sus actividades. Finalmente, es responsable de verificar los incidentes de seguridad y adoptar las contramedidas adecuadas.

Las competencias de todas las funciones mencionadas han sido evaluadas adecuadamente en relación con sus roles. El Departamento de Recursos Humanos mantiene evidencia de las competencias y la formación de los recursos involucrados en el sistema de gestión de seguridad de la información.

6. Objetivos estratégicos y empresariales

Los objetivos estratégicos y empresariales relacionados con la organización y su posicionamiento en el mercado son coherentes con los objetivos del ISQMS y con los objetivos de calidad y seguridad de la información. Estos se articulan en base a los principios rectores que se detallan a continuación.

En primer lugar, el ISQMS define un conjunto de medidas para implementar estratégicamente el principio “customer first”, en cumplimiento con los requisitos de calidad y seguridad aceptados internacionalmente. Expert.ai, a través del ISQMS, también tiene como objetivo proteger sus propios activos de información y los de sus clientes de la mejor manera posible.

En segundo lugar, Expert.ai se adhiere al principio “be process driven”, que implica la creación de procesos estructurados y medibles para alcanzar resultados. A través del ISQMS, Expert.ai busca preservar la imagen de la empresa como proveedor confiable y competente, cumpliendo simultáneamente con los requisitos de las normativas vigentes y obligatorias.

Además, Expert.ai se posiciona en el mercado definiendo estratégicamente el principio “Focus on product”, que identifica la necesidad de ofrecer soluciones innovadoras y competitivas mediante el suministro de sus productos. Estos productos deben desarrollarse y adaptarse a las necesidades de los clientes en cumplimiento con las políticas y procedimientos del SGSI, garantizando la seguridad y eficiencia de los procesos, así como la integridad, disponibilidad y confidencialidad de la información.

Finalmente, el principio rector “Empower your colleagues” se implementa mediante medidas destinadas a garantizar la lealtad y profesionalismo del personal, aumentando al mismo tiempo el nivel de conciencia y competencia en temas de seguridad.

Todas estas disposiciones son coherentes con los objetivos estratégicos y de mercado establecidos por la organización:

  • Expandir su mercado, posicionándose como empresa de referencia internacional en el desarrollo de inteligencia artificial.
  • Mejorar la gestión del ciclo de vida del producto.
  • Reducir los costos de servicio para ser más competitivos en el mercado.
  • Mejorar la comunicación y la organización interna de manera adecuada para una empresa innovadora y en desarrollo.

Es responsabilidad del Equipo de Calidad y Seguridad de la Información supervisar la correcta implementación de los objetivos de calidad y seguridad de la información. Estos objetivos se verifican periódicamente cada cuatro meses y forman parte de la documentación que se analiza durante la Revisión por la Dirección.

Los objetivos de seguridad de la información son:

  • Fomentar la difusión de una cultura y conciencia sobre la seguridad y protección de datos e información, en particular la confidencialidad, integridad y disponibilidad, entre empleados, colaboradores, socios y terceros, en relación con sus roles y responsabilidades en esta materia.
  • Capacitar al personal para realizar actividades de protección de los activos e información procesada conforme al Sistema de Gestión de Seguridad de la Información.
  • Proteger los activos de la empresa y los activos de información gestionados.
  • Proteger los datos y la información contra accesos no autorizados.
  • Proteger la imagen de la empresa.
  • Respetar la ética en el lugar de trabajo, entre colegas y con terceros.
  • Actuar de manera rápida, eficaz y rigurosa ante emergencias o incidentes que puedan ocurrir en las actividades, colaborando también con terceros u organismos competentes.
  • Cumplir con las leyes y regulaciones aplicables, y adherirse a los estándares identificados con responsabilidad y conciencia basada en la evaluación de riesgos.
  • Verificar y monitorear la continuidad de la seguridad de la información para servicios críticos incluso después de incidentes graves que puedan comprometer la supervivencia de la empresa.
  • Supervisar, revisar y mejorar el sistema de gestión de seguridad de la información.

Los objetivos de calidad, por su parte, están orientados a la búsqueda de la satisfacción, confianza y fidelización del cliente, guiando a la organización en el desarrollo, implementación y mejora de su sistema de gestión de calidad.

Los objetivos específicos de calidad son:

  • Mejora continua de todos los procesos de la empresa, involucrando a todos los empleados.
  • Proporcionar productos y servicios de calidad que satisfagan las necesidades y expectativas iniciales y posteriores de los clientes y otras partes interesadas.
  • Compromiso de cumplir con los requisitos regulados por las leyes aplicables, así como con los compromisos contractuales.
  • Cumplimiento de todas las normas internas y regulaciones para la seguridad de los trabajadores en el lugar de trabajo.
  • Disponibilidad de los recursos necesarios, en términos de personal calificado y equipos adecuados.
  • Garantizar el desarrollo de la empresa mediante la mejora continua de la tecnología semántica para ingresar a nuevos segmentos de mercado.
  • Cursos de formación y actualización para cada empleado, dentro del alcance de sus funciones.
  • Un sistema de control adecuado para medir actividades, resolver problemas y proporcionar a la Dirección elementos apropiados para realizar revisiones y verificar que la Política de Calidad sea siempre adecuada y coherente con la misión de la empresa.

7. Gestión de Recursos de Seguridad de la Información

La organización reconoce la importancia crítica de la seguridad de la información en términos de disponibilidad, integridad y confidencialidad, y admite que los componentes tecnológicos por sí solos no pueden garantizarla. En consecuencia, el factor humano se presenta como predominante para la correcta y segura gestión de los recursos de la empresa y de la información procesada.

La organización considera esencial que las Políticas y Procedimientos relacionados con la seguridad de la información se operacionalicen para alcanzar los objetivos previstos, específicamente:

  • Proteger los activos e información de la empresa.
  • Salvaguardar los datos e información contra accesos no autorizados.
  • Preservar la imagen de la empresa.
  • Mantener la ética en el lugar de trabajo entre colegas y con terceros.
  • Cumplir con las normativas aplicables.

Salvo excepciones, que serán evaluadas y aprobadas por el Equipo de Calidad y Seguridad de la Información, se prohíben generalmente las siguientes acciones:

  • El uso de dispositivos personales dentro de la empresa.
  • El uso de dispositivos corporativos para fines privados.
  • El almacenamiento de datos personales y cualquier otro elemento no relacionado con el trabajo.
  • El procesamiento de datos fuera de las aplicaciones/bases de datos proporcionadas por la empresa (por ejemplo, copiar/gestionar datos localmente en dispositivos personales).

La organización considera las siguientes actividades totalmente inaceptables, sin excepción:

  • Infracción de los derechos de cualquier persona o empresa protegidos por derechos de autor, secretos comerciales, patentes u otra propiedad intelectual.
  • Exportación de software, información técnica, software o tecnología de cifrado en violación de leyes internacionales o nacionales y regulaciones corporativas.
  • Introducción de programas maliciosos (malware) en la red o servidores.
  • Divulgación de contraseñas a terceros o permitir que otros utilicen la cuenta propia.
  • Uso de un recurso de Expert.ai para obtener o transmitir material que viole leyes nacionales o internacionales.
  • Socavar la seguridad de la red o interrumpir las comunicaciones de la red.
  • El escaneo de puertos y el escaneo de seguridad están expresamente prohibidos.
  • Realizar cualquier tipo de monitoreo de red destinado a interceptar datos no dirigidos al host del usuario, salvo que estas tareas formen parte de la actividad laboral habitual del usuario.
  • Eludir la autenticación de usuarios o la seguridad de cualquier host, red o cuenta.
  • Utilizar cualquier programa/script/comando o enviar mensajes de cualquier tipo con la intención de interferir o deshabilitar funciones propias o de otro usuario.
  • Proporcionar información sobre empleados, colaboradores, becarios, empleados temporales, consultores, empresas y, en general, todos los sujetos que tengan contacto directo o indirecto con Expert.ai.
  • Utilizar la cuenta de correo electrónico corporativa para fines distintos a los estrictamente relacionados con el trabajo.
Inversores
Noticias y Recursos
Carreras
Socios
Contactos
en_US ENGit_IT ITA
 Solicita una demo