Políticas de Agentes con IA

Este resumen explica cómo implementamos y operamos agentes con IA: alcance, datos y privacidad, controles de seguridad, calidad y supervisión humana, SLAs, costos, propiedad intelectual, uso aceptable y proceso de salida.

Última actualización: 18/08/2025

Privacidad primero
Redacción de PII por defecto, retención operativa 30 días y logs 90 días.
Guardrails activos
Rate limiting, allowlist de herramientas, auditoría y defensa ante prompt injection.
Humano-en-el-loop
Umbrales y derivación a humano para casos sensibles o baja confianza.

1) Alcance del servicio

  • Diseño, configuración y operación de agentes con IA (texto/voz) para atención, ventas, soporte y operaciones.
  • Canales soportados: WhatsApp Business, webchat, email, Slack y otros integrables (según plan).
  • Orquestación y automatización con n8n u orquestadores equivalentes; conectores a CRMs/ERPs/DB/Sheets/API.
  • Analítica básica: métricas de uso, éxito, desvíos a humano y ahorro estimado.
  • El detalle final de funcionalidades vive en la cotización/orden de servicio.

2) Definiciones clave

  • Agente: flujo capaz de entender intents, consultar herramientas y devolver acciones/respuestas.
  • Guardrails: reglas que limitan acceso a herramientas, tópicos y datos (allowlist + políticas).
  • HITL: revisión/intervención humana para casos sensibles, baja confianza o excepciones.

3) Datos, privacidad y cumplimiento

  • PII-Redaction por defecto: enmascarado/anonimización de datos sensibles cuando aplique.
  • Base legal y consentimientos: el cliente garantiza la licitud del tratamiento (aviso de privacidad, opt-ins, finalidades).
  • Retención: datos operativos por 30 días; audit logs por 90 días, salvo pacto distinto.
  • Residencia y terceros: algunos proveedores de IA/integraciones alojan datos fuera del país; se documentan en el Anexo de Terceros.
  • DPA: se puede firmar anexo de encargado de tratamiento y lista de subencargados.

4) Seguridad y guardrails

  • Rate limiting: por canal/usuario (burst + ventana) para prevenir abuso.
  • Allowlist de herramientas: el agente solo puede invocar acciones expresamente aprobadas.
  • Roles y permisos: accesos mínimos necesarios para integraciones y paneles.
  • Audit logs: registro de solicitudes, decisiones de herramientas y respuestas (con redacción de PII cuando aplique).
  • Defensas: mitigación de prompt injection/jailbreaks, filtros de contenido y límites por tema.
  • Llaves y secretos: gestionados de forma segura; rotación ante incidentes.

5) Calidad, supervisión humana y evaluación

  • HITL: derivación a humano si confianza baja, tema sensible o fuera de alcance.
  • Métricas: tasa de éxito, desvíos, tiempo de resolución, costo por interacción, satisfacción (NPS/CSAT).
  • Evaluaciones: pruebas con datos de ejemplo y golden sets antes de ir a producción; mejoras continuas.
  • Limitaciones: la IA puede errar o alucinar; se evitan acciones irreversibles sin confirmación humana.

6) Disponibilidad, incidentes y soporte

  • Objetivo de disponibilidad: 99% para servicios gestionados por Incote (no incluye SLAs de terceros).
  • Soporte: tiempo objetivo de respuesta 24 h hábiles; incidentes críticos en 8 h hábiles.
  • Contención: kill-switch, rollback de versión y desconexión de herramientas ante comportamiento anómalo.
  • Notificación: comunicación de incidentes relevantes y plan de acción.

7) Tarifas, consumo y facturación

  • Setup: análisis, diseño de flujos, prompts y configuración inicial.
  • Suscripción/operación: monitoreo, mejoras y soporte continuo.
  • Consumo: costos variables (tokens, llamadas a APIs, mensajería, voz) son del cliente; se puede facturar directo al proveedor cuando aplique.
  • Otros costos de terceros (BSP de WhatsApp, PAC, pasarelas, licencias) corren por cuenta del cliente.

8) Propiedad intelectual y entregables

  • Los workflows, prompts, plantillas y librerías desarrollados por Incote son propiedad de Incote.
  • El cliente obtiene derecho de uso del sistema y de los resultados generados para sus fines de negocio.
  • Entrega/migración de configuraciones o código se puede acordar por un costo adicional (según contrato).

9) Integraciones y proveedores externos

  • El rendimiento y SLAs de terceros (model providers, BSPs, CRMs, PACs, etc.) son responsabilidad de cada proveedor.
  • Incote configurará reintentos y fallbacks razonables cuando sea posible.
  • Lista de subprocesadores/proveedores disponible bajo solicitud o en el anexo de terceros.

10) Cancelación, salida y exportación

  • Con aviso conforme a contrato, se detiene operación y se realiza handover de accesos y documentación.
  • Exportación de prompts, flujos e inventario de herramientas: disponible si se contrata la transferencia de IP.
  • Se revocan llaves/secretos y se desactivan webhooks al cierre.

11) Uso aceptable y restricciones

  • Prohibido uso ilegal, fraudulento, discriminatorio, médico/financiero sin aval, o para spam/abuso.
  • Se restringen temas de alto riesgo; se requiere validación humana para acciones críticas.
  • Incote puede suspender el servicio ante incumplimiento de estas políticas o de plataformas.

12) Modificaciones y ley aplicable

  • Incote puede actualizar estas políticas; publicaremos cambios con nueva fecha de actualización.
  • Jurisdicción: Ciudad de México, salvo acuerdo distinto por contrato.

Este documento es un resumen informativo. El contrato y sus anexos prevalecen.

¿Tienes dudas sobre privacidad, guardrails o SLAs? Conversemos y ajustamos el anexo a tu operación.

Solicitar propuesta Agendar demo