Use estas cláusulas como punto de partida al negociar contratos con proveedores de IA. Cubren riesgos específicos de la IA que los contratos de proveedores estándar suelen pasar por alto, especialmente en torno al entrenamiento con sus datos, la retención, las pruebas de auditoría y la notificación de incidentes.
El proveedor no debe usar los Datos del Cliente (incluidos los prompts, las entradas, las salidas, los registros o la telemetría) para entrenar, ajustar o mejorar ningún modelo sin consentimiento expreso por escrito. El proveedor debe ofrecer una opción de exclusión clara de forma predeterminada.
El proveedor debe revelar los periodos de retención de los Datos del Cliente y proceder a su eliminación dentro de un SLA definido (por ej. 30 días) cuando se solicite o al finalizar el contrato.
El proveedor debe mantener una lista actualizada de subencargados, notificar al Cliente cualquier cambio con antelación y cumplir los requisitos de residencia de datos cuando proceda.
El proveedor debe mantener SOC 2 Type II (o equivalente), cifrar los datos en tránsito y en reposo, exigir MFA y aplicar controles de mínimo privilegio para el acceso interno.
El Cliente debe tener derecho a auditar los controles del proveedor (o a recibir pruebas independientes como informes SOC 2) y a solicitar atestaciones adicionales para los controles específicos de la IA.
El proveedor debe notificar al Cliente, dentro de un plazo definido (por ej. de 24 a 72 horas), cualquier incidente de seguridad que afecte a los Datos del Cliente, incluidos los incidentes específicos de la IA (explotación por inyección de prompts, configuración incorrecta del modelo que provoque exposición de datos).
El proveedor debe notificar con antelación los cambios de modelo importantes que afecten a la seguridad, la privacidad o el rendimiento, incluir opciones de reversión y documentar los cambios.
El contrato debe abordar los riesgos específicos de la IA (fuga de datos, acciones provocadas por alucinaciones, uso indebido) e incluir límites de responsabilidad e indemnizaciones adecuados.
Políticas, registros, listas de comprobación y planes de despliegue, listos para personalizar.
Solo correo profesional. De Aona AI, la plataforma de Workforce AI Security certificada SOC 2 Type II.
Una biblioteca de cláusulas ayuda en las compras. Aona AI le ofrece visibilidad continua del uso de IA, la exposición de los proveedores y pruebas listas para auditoría.