What is a third-party AI risk assessment?

A third-party AI risk assessment is a structured evaluation of the risk an external vendor's AI capability introduces to your organisation. It goes beyond a standard vendor security questionnaire by covering AI-specific concerns: whether the vendor uses your data to train models, how they handle prompt injection, what explainability they offer, and whether their model documentation meets regulatory requirements. Output is a scored, weighted recommendation: approve, conditionally approve, or reject.

When is a third-party AI risk assessment required?

Run a formal assessment before onboarding any new AI vendor handling internal or regulated data, when an existing SaaS vendor adds AI features to a product you already use, at contract renewal, and after any material change (new model, data-handling change, incident). Assessments are also required evidence for ISO 42001 Annex A.10 (third-party relationships) and EU AI Act provider-deployer obligations.

How does this differ from a standard vendor security questionnaire?

A standard security questionnaire focuses on SOC 2-style controls, access, encryption, incident response. An AI-specific assessment adds categories that a security-only review will miss: model transparency (model cards, training data sources, explainability), ethical AI practices (bias testing, human oversight), and AI-specific contractual protections (no-training clauses, IP ownership of outputs, model-change notifications). Use this assessment in addition to, not instead of, your existing vendor security questionnaire.

How do the weights work?

The default weighting places the highest emphasis on data privacy and sovereignty (25%) and security posture (20%), because these drive immediate exposure. Model transparency and regulatory compliance (15% each) support longer-term audit-readiness. Operational resilience and ethical AI practices sit at 10% each, with contractual protections at 5%, strong contracts matter but cannot compensate for weak underlying controls. Adjust the weights to match your industry: regulated sectors typically raise the Compliance weight.

Prueba gratuita de 90 días para descubrir riesgos de IA generativa -90 días de prueba de riesgos de IA generativa -Empezar ahora

Solicitar una demo

Plantilla gratuita · Riesgo de proveedores

IA de terceros
Evaluación de riesgos

Una evaluación ponderada de los proveedores de IA de terceros en 7 categorías, desde la soberanía de los datos y la seguridad hasta la explicabilidad, la ética y la protección contractual.

Descargar plantilla Reservar demo

0 categories

cobertura de riesgo ponderada

0+ criteria

puntos de control de proveedores puntuados

0 frameworks

NIST, ISO 42001, EU AI Act

Free

para usar y personalizar

Por qué la IA de terceros necesita su propia evaluación

Hoy en día, la mayor parte de la exposición a la IA dentro de las empresas proviene de terceros. Cada herramienta SaaS que ya utiliza se apresura a añadir funciones de IA, y cada una reconfigura discretamente su superficie de riesgo. Un cuestionario de seguridad de proveedores estándar no detectará si el proveedor entrena con sus datos, si las salidas del modelo pueden explicarse a un auditor, o si su postura de IA responsable resiste el escrutinio. Esta evaluación cubre lo que las revisiones centradas únicamente en la seguridad pasan por alto.

7 categories

cobertura de riesgo específica de la IA

Soberanía de datos, transparencia de los modelos, seguridad, cumplimiento, resiliencia, ética y contratos, cada uno ponderado para reflejar la exposición real.

ISO 42001

evidencia del Anexo A.10

Las evaluaciones de IA de terceros constituyen evidencia esperada conforme al Anexo A.10 de ISO 42001 (Relaciones con terceros) para el sistema de gestión de IA.

SaaS AI

la IA integrada llega más lejos

Las funciones de IA se están entregando ahora dentro de herramientas que sus equipos ya utilizan. Cada una que sea relevante necesita una nueva evaluación, la revisión de seguridad de 2023 no las cubre.

Decision

resultado de aprobación listo para auditoría

Produce una puntuación ponderada general, una banda de clasificación y una decisión documentada de aprobación / condicional / rechazo, no un memorando cualitativo.

Las categorías de la evaluación

Siete categorías, cada una ponderada para reflejar el riesgo real. Puntúe cada criterio de 1 a 5 con evidencia documentada y, a continuación, aplique las ponderaciones para producir una decisión general.

La categoría con mayor ponderación. Cómo el proveedor maneja, almacena, transfiere y, fundamentalmente, si entrena con sus datos.

Acuerdo de tratamiento de datos vigente

Se ha firmado un DPA específico de IA (o un anexo de IA). El texto de un DPA estándar rara vez cubre el uso de datos de entrenamiento, el riesgo de memorización del modelo o los subencargados del proveedor.

Los datos NO se utilizan para el entrenamiento de modelos

El proveedor se compromete contractualmente a que sus datos no se utilizarán para entrenar, ajustar ni evaluar sus modelos fundacionales. Verificado por escrito, no en una diapositiva comercial.

Requisitos de residencia de datos cumplidos

El lugar donde el proveedor procesa los datos geográficamente se alinea con sus obligaciones de residencia (los datos de la UE permanecen en la UE, etc.) y se documenta cualquier salvaguarda de transferencia transfronteriza.

Política de registro de entradas/salidas documentada

El registro de prompts y respuestas por parte del proveedor está documentado: qué se registra, durante cuánto tiempo, quién puede acceder a él y si puede deshabilitarse para flujos de trabajo sensibles.

Cifrado en reposo y en tránsito

El proveedor cifra los datos almacenados y todas las comunicaciones de red conforme a los estándares. La gestión de claves es gestionada por el proveedor con atestación o gestionada por el cliente (BYOK).

Proceso DSAR para datos procesados por IA

El proveedor cuenta con un proceso definido para las solicitudes de acceso y supresión de los interesados que cubre los datos procesados por IA, incluidos los datos de entrenamiento memorizados.

Descargar plantilla completa

Cómo llevar a cabo la evaluación

Cinco pasos para producir una decisión de proveedor puntuada que resista el escrutinio de seguridad, jurídico, compras y, si llega el día, de un regulador.

Recopilar el contexto del proveedor y del caso de uso

Registre el proveedor, el producto, las capacidades de IA utilizadas, los tipos de datos tratados, el responsable de negocio y las fechas del contrato. Un mismo proveedor puede obtener puntuaciones muy distintas según el caso de uso, evalúe por caso de uso, no por proveedor.

Reunir las evidencias antes de puntuar

Solicite los informes SOC 2 / ISO 27001 / ISO 42001 del proveedor, el DPA, la documentación del modelo, el resumen de las pruebas de penetración y la política de IA responsable. Puntuar sin evidencias produce una lista de deseos, no una evaluación.

Puntuar cada categoría de 1 a 5

Recorra las 7 categorías. Puntúe cada criterio de 1 (riesgo crítico) a 5 (riesgo mínimo) con evidencia documentada. Los criterios sin respuesta deberían puntuarse por defecto con 1, la ausencia de evidencia no es evidencia de control.

Aplicar las ponderaciones y calcular la puntuación general

Aplique las ponderaciones por defecto (25% datos / 20% seguridad / 15% transparencia / 15% cumplimiento / 10% resiliencia / 10% ética / 5% contratos) para producir un porcentaje general. Aumente las ponderaciones para los sectores regulados.

Emitir la recomendación y obtener la aprobación

En función de la puntuación general, recomiende Aprobar (85%+), Aprobar condicionalmente (70 a 84%) o No aprobado (por debajo del 70%). Obtenga la aprobación del evaluador, de seguridad, jurídico, del responsable de negocio y del comité de gobernanza de la IA según corresponda.

FAQ

Preguntas frecuentes

Una evaluación de riesgos de IA de terceros es una evaluación estructurada del riesgo que la capacidad de IA de un proveedor externo introduce en su organización. Va más allá de un cuestionario de seguridad de proveedores estándar al cubrir aspectos específicos de la IA: si el proveedor utiliza sus datos para entrenar modelos, cómo gestiona la inyección de prompts, qué explicabilidad ofrece y si la documentación de su modelo cumple los requisitos normativos. El resultado es una recomendación puntuada y ponderada: aprobar, aprobar condicionalmente o rechazar.

Descargar la Evaluación de riesgos de IA de terceros

Plantilla .docx gratuita con 7 categorías ponderadas. Puntúe a sus proveedores de IA y produzca una decisión de aprobación lista para auditoría.

Descargar DOCX

Consiga las 25 plantillas en un único ZIP. Políticas, registros, listas de comprobación y planes de despliegue.

Empezar

De la evaluación a la visibilidad continua de los proveedores

El riesgo de la IA de terceros no es un problema puntual. Cada semana se entregan nuevas funciones de IA dentro de las herramientas SaaS existentes. Aona descubre de forma continua la IA de terceros en uso en toda su organización y avisa cuando un proveedor no evaluado comienza a tratar datos sensibles.

Reservar una demo

Recursos relacionados

Plataforma Aona AI Marco de gobernanza de la IA Cuadro de evaluación de proveedores de IA Cuestionario de seguridad de proveedores de IA Cláusulas contractuales para proveedores de IA Lista de verificación de auditoría de seguridad de IA Todas las plantillas

IA de tercerosEvaluación de riesgos

Descargar la Evaluación de riesgos de IA de terceros

De la evaluación a la visibilidad continua de los proveedores

IA de terceros
Evaluación de riesgos