Saltar al contenido principal
Si envías un agente de IA a usuarios de la UE, el AI Act impone tres obligaciones al sistema mismo: no impulsar prácticas prohibidas, decir a las personas que están hablando con IA, y mantener un registro técnico de lo que hizo el sistema. El pack del EU AI Act mapea esas obligaciones a controles reales del gateway y las materializa en un guardrail que puedes ejecutar en modo observe primero, luego poner en marcha — con un reporte verificable por el auditor al final. Esta página es el aterrizaje específico del EU AI Act sobre el flujo general de cumplimiento. Para la mecánica que comparte cada pack — observe-primero, restricciones por plan, el reporte firmado — empieza en la visión general de cumplimiento.

1. Qué cubre el cumplimiento del eu ai act en el gateway

El pack eu_ai_act mapea el Reglamento de Inteligencia Artificial de la UE (jurisdicción EU, vigente 2024-08-01) a tres controles del plano de contenido. Cada uno es una regla de guardrail real y editable — no una casilla — construida a partir de la misma biblioteca de presets contra la que puedes autorar a mano.
Bloquea los intentos de manipulación y jailbreak que impulsan comportamiento prohibido. Construido a partir del preset Prompt-Injection Basics más una regla de bloqueo regex de jailbreak, así que la intención de inyección y jailbreak se atrapa en la solicitud antes de que el modelo la vea.
Aplica una divulgación para que los usuarios sepan que están interactuando con IA. Construido a partir del preset Legal Disclaimer Enforce, que marca la salida que da asesoría legal/financiera definitiva para revisión del equipo.
Registra las decisiones de guardrail para el registro técnico. Construido a partir del preset Compliance Logger (observe-only) — registra las apariciones de PII y las decisiones de política sin bloquear ni modificar el tráfico.
Estas son las obligaciones que el gateway puede llevar: aplicación en entradas y salidas, una superficie de divulgación y un registro de decisiones. Los deberes organizativos que la regulación también impone — tu sistema de gestión de riesgos del Art. 9 y tus medidas de supervisión humana del Art. 14 — viven en la matriz de controles del pack como elementos Organizational: true para que los evidencies fuera del gateway. Ver responsabilidad compartida.

2. Un ejemplo concreto: instalar, observar, poner en marcha

El trabajo con packs usa tu sesión de consola (UserAuth) — no una clave de relay sk-orca-…. Navegar el catálogo y revisar la preparación son gratis para cualquier Member del espacio de trabajo; instalar es una acción de Admin del espacio de trabajo en un plan de pago, aplicada del lado del servidor para que una llamada directa a la API no pueda saltarse la compuerta.
1

Navega y revisa la preparación (Member, gratis)

Abre Compliance → Frameworks y selecciona EU AI Act. La preparación muestra cómo los tres controles se mapean a tus políticas actuales antes de que te comprometas a nada.
2

Instala el pack (Admin, de pago)

Instalar desde la consola emite POST /api/compliance/packs/eu_ai_act/install. Una llamada materializa los controles en un guardrail real y editable etiquetado con la procedencia del pack — creado en modo observe, así que marca en vez de bloquear y recopilas evidencia de “lo-habría-bloqueado” sobre el tráfico en vivo sin afectarlo.
POST /api/compliance/packs/eu_ai_act/install
3

Observa las coincidencias

Revisa lo que los controles de prácticas prohibidas y transparencia atraparían en el feed de coincidencias de Guardrails (GET /api/guardrail/match, Member). Ajusta cualquier regla en la consola — es un guardrail estándar, así que cada ruta de edición, versión y reversión funciona sin cambios.
4

Ponlo en marcha y adjunta

Saca el guardrail del modo observe cuando la evidencia se vea bien, luego adjúntalo a las claves que usan tus agentes de cara a la UE estableciendo guardrail_id en la clave (o hazlo el valor por defecto del espacio de trabajo). Ahora los bloqueos del Art. 5 se aplican en la solicitud antes de la medición.
Un resultado guardrail_blocked es un HTTP 400 que no cuesta cuota — un bloqueo de etapa de entrada se atrapa antes de la medición, y se marca skip-retry, así que un intento de práctica prohibida bloqueado nunca quema gasto ni entra en bucle.

3. Entrega un reporte firmado y verificable

Cuando estés aplicando, genera el reporte de cumplimiento: un artefacto firmado con Ed25519 y estampado con SHA-256 que puedes exportar como CSV, JSON o PDF y entregar a un auditor. Cualquiera puede verificarlo sin una cuenta.

Reporte firmado

Qué contiene el reporte y cómo se firma.

Verificar un reporte

El endpoint público de verificación y la clave pública — los auditores confirman la autenticidad de forma independiente.
Los reportes se estampan y se almacenan bajo tu región de residencia de datos declarada (us / eu / uk / ap / cn / global). Para una presentación del EU AI Act normalmente establecerás la residencia a eu; un reporte solo se sirve bajo una región declarada coincidente, y las lecturas entre regiones se retienen.
La residencia de datos es la región del artefacto del reporte de cumplimiento, no geo-fijación de dónde se ejecuta la inferencia. Controla dónde vive tu evidencia firmada y quién puede leerla, no a dónde se enruta el tráfico de modelo. Ver residencia de datos.

4. El EU AI Act junto al resto de tu programa

El EU AI Act rara vez aterriza solo. El mismo flujo de instalación cubre los frameworks adyacentes de gobernanza de IA y privacidad de la UE, cada uno materializando sus propios controles editables (los packs de gobernanza de IA son solo de guardrail; el pack de GDPR también agrega una política de firewall para su control de transferencia transfronteriza):
PackFramework
iso_42001Sistema de gestión de IA ISO/IEC 42001
nist_ai_rmfMarco de Gestión de Riesgos de IA del NIST
gdprReglamento General de Protección de Datos de la UE

ISO 42001

Evidencia del sistema de gestión de IA.

NIST AI RMF

Controles de Map / Measure / Manage.

GDPR

Obligaciones de datos personales de la UE.
El control de prácticas prohibidas del Art. 5 es la defensa del gateway contra las mismas amenazas que tus políticas de seguridad ya rastrean — inyección de prompts y jailbreaks. Si quieres endurecerlas independientemente del pack de cumplimiento, las referencias de firewall y guardrail profundizan más.

5. Dónde ir a continuación

Instalar un pack

La mecánica completa de instalación, compartida por cada framework.

Observar vs aplicar

Cómo el modo observe se convierte en aplicación en vivo, deliberadamente.

Referencia de Guardrails

Los controles del plano de contenido a partir de los que se construye el pack del EU AI Act.

Inyección de prompts

La amenaza contra la que defiende la guarda de prácticas prohibidas del Art. 5.
Instala en modo observe, observa lo que atraparían los controles de prácticas prohibidas y transparencia, ponlos en marcha en tus claves de cara a la UE, luego entrega un reporte firmado. Eso es el cumplimiento del eu ai act como una configuración, no un proyecto.