What is an AI vendor security assessment?

An AI vendor security assessment is the process of evaluating whether an AI vendor meets your organisation's security and compliance standards before procurement. It covers governance, data handling, security controls, AI model security, and contractual protections. Unlike a standard vendor assessment, it includes AI-specific questions about model training data, prompt injection defences, and AI governance policies.

What should I look for in a SOC 2 report when evaluating an AI vendor?

When reviewing a SOC 2 report for an AI vendor, check whether it is Type 2 (covers a period of time, not just a point in time). Review which trust service categories are in scope - Security is the minimum, but Availability and Confidentiality are also important for AI services. Check for any exceptions or qualified opinions noted by the auditor. For vendors with reports older than 12 months, request a bridge letter confirming controls remain in place.

Does my AI vendor need to be GDPR compliant?

Yes, if the AI vendor processes personal data belonging to EU residents, GDPR applies regardless of where the vendor is located. Before procurement, check that the vendor can provide a Data Processing Agreement (DPA), maintains an up-to-date sub-processor list, and supports data residency requirements if applicable. Also verify their process for handling data subject rights requests and their approach to cross-border data transfers.

How often should I reassess AI vendors?

AI vendors should be reassessed at least annually, as part of your vendor risk management programme. Additionally, trigger an out-of-cycle reassessment when the vendor announces major product changes, new data processing activities, a change of ownership or acquisition, a significant security incident, or when your organisation's data sharing with the vendor materially increases.

Prueba gratuita de 90 días para descubrir riesgos de IA generativa -90 días de prueba de riesgos de IA generativa -Empezar ahora

Solicitar una demo

Plantilla gratuita

Cuestionario de evaluación de seguridad
de proveedores de IA

Más de 50 preguntas para evaluar cualquier proveedor de IA antes de la compra. De uso libre y personalizable.

Descargar plantilla Solicitar una demo

preguntas de evaluación

0 dominios

áreas de cobertura

0 niveles

puntuación de riesgo

Gratis

de usar y personalizar

Por qué importa la seguridad de los proveedores de IA

Cuando su equipo adopta un proveedor de IA, le entrega algunos de los datos más sensibles de su organización: prompts con registros de clientes, análisis financieros, documentos legales y propiedad intelectual. La mayoría de los equipos de compras usan cuestionarios de seguridad de proveedores estándar diseñados mucho antes de que existieran las herramientas de IA.

El riesgo es real: la adopción de Shadow AI supera a los controles de compras. Los empleados usan herramientas de IA antes de que los equipos de seguridad las hayan evaluado. Algunos proveedores entrenan modelos con datos de clientes sin una divulgación clara. Y la exposición regulatoria derivada de las brechas de datos relacionadas con la IA crece, a medida que la aplicación del RGPD, el EU AI Act y el Australian Privacy Act se aplican cada vez más al tratamiento mediante IA.

Este cuestionario ofrece a los equipos de seguridad, los CISO y los responsables de compras las preguntas específicas de la IA que los marcos estándar pasan por alto. Úselo antes de firmar cualquier contrato con un proveedor de IA, y revíselo anualmente o tras cambios importantes del proveedor.

Riesgo de Shadow AI

Es posible que los empleados ya usen el proveedor sin la aprobación de TI: evalúe la superficie de amenaza antes de la compra.

Fuga de datos

Los proveedores de IA pueden conservar, registrar o entrenar con sus datos. Sepa exactamente qué ocurre con sus entradas.

Exposición regulatoria

El RGPD, el Australian Privacy Act y el EU AI Act crean una responsabilidad real por el tratamiento de datos mediante IA. Evalúe antes de firmar.

La evaluación de 50 preguntas

Haga clic en cada sección para desplegar las preguntas. Puntúe cada sección de 0 a 10 según la exhaustividad y credibilidad de las respuestas del proveedor.

¿El proveedor cuenta con una política publicada de ética de la IA o de IA responsable?

¿Quién es responsable de la gobernanza de la IA en el proveedor? (¿CAIO, CTO, equipo dedicado?)

¿El proveedor mantiene un registro de riesgos de IA o un inventario de sistemas de IA?

¿Publica model cards o informes de transparencia de sus modelos de IA?

¿Existe un proceso de divulgación de incidentes de IA: le notificará los eventos de seguridad relacionados con la IA?

¿Cuál es su política sobre el uso de datos de clientes para el entrenamiento o ajuste de modelos?

¿Dispone de un proceso de supervisión humana de las decisiones de IA de alto riesgo?

¿Ha realizado una evaluación de impacto de la IA o una revisión ética?

¿Existe un proceso para que los clientes impugnen o recurran las decisiones generadas por IA?

¿Dispone de un proceso documentado de gestión de cambios de IA para las actualizaciones de modelos?

Guía de puntuación

Puntúe cada una de las cinco secciones de 0 a 10 según la calidad y exhaustividad de las respuestas del proveedor. Sume las puntuaciones para un total sobre 50. Use la tabla siguiente para determinar su recomendación de compra.

45-50

Riesgo bajo

Proceder con la compra

35-44

Riesgo medio

Negociar controles adicionales antes de firmar

25-34

Riesgo alto

Escalar al CISO: se requiere un plan de remediación

Menos de 25

Riesgo muy alto

No proceder sin un plan de remediación formal

Cómo usar esta guía de puntuación

Una puntuación total es un punto de partida, no una decisión final. Un proveedor con 40 en total puede tener aún una brecha crítica en el tratamiento de datos que cree riesgo regulatorio. Revise siempre las puntuaciones de cada sección y marque cualquier pregunta en la que el proveedor no aporte pruebas o se niegue a responder: esas son sus áreas de mayor riesgo, independientemente de la puntuación total.

Empezar

Obtenga el cuestionario completo en PDF

Descargue el cuestionario completo de seguridad de proveedores de IA en un PDF con formato listo para enviar a sus proveedores. Incluye columnas de puntuación, notas de orientación y una checklist de solicitud de pruebas.

Iniciar prueba gratuita

Recursos relacionados

Plataforma Aona AI Marco de gobernanza de la IA Todas las plantillas

Cuestionario de evaluación de seguridadde proveedores de IA

Obtenga el cuestionario completo en PDF

Cuestionario de evaluación de seguridad
de proveedores de IA