Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Requisitos de cumplimiento de IA para empresas de servicios financieros: lo que necesitas saber

Requisitos de cumplimiento de IA para empresas de servicios financieros: lo que necesitas saber

by Danielle Barbour updated marzo 30, 2026 Cumplimiento Regulatorio
Reading Time: 10 minutes

Las empresas de servicios financieros están entre las que adoptan la IA más rápidamente, y también entre las más expuestas en cuanto a cumplimiento. El entorno regulatorio en el que operan fue diseñado para la toma de decisiones humana: oficiales de crédito revisando solicitudes, operadores ejecutando órdenes, asesores gestionando carteras de clientes. Los sistemas de IA que asumen esos roles no quedan fuera de los marcos regulatorios que los rigen.

La guía de riesgo de modelos SR 11-7, GLBA, PCI DSS, NYDFS Parte 500, DORA y GDPR se aplican simultáneamente, cada una con diferentes estándares probatorios y mecanismos de aplicación. Gobernar correctamente la IA en servicios financieros implica cumplir con todas ellas.

Resumen Ejecutivo

Idea principal: El cumplimiento de IA en servicios financieros no es un problema de un solo marco normativo: es un reto multirregulador y multijurisdiccional donde deben cumplirse SR 11-7 de riesgo de modelos, GLBA, NYDFS, PCI DSS, DORA y GDPR con una infraestructura de gobernanza de datos coherente.

Por qué te debe importar: Los reguladores de servicios financieros — OCC, Reserva Federal, FDIC, SEC, FINRA, NYDFS y sus equivalentes en la UE — están examinando activamente la gobernanza de IA. Las empresas que no puedan demostrar evidencia operativa de controles de acceso, supervisión de modelos y registros auditables de IA durante una inspección se enfrentarán a hallazgos y órdenes de remediación. El coste de cumplir de forma reactiva tras un hallazgo es siempre mayor que invertir en gobernanza proactiva.

Puntos Clave

  1. La gestión de riesgo de modelos SR 11-7 aplica a modelos de IA que influyen en decisiones financieras: validación, monitoreo continuo y documentación de intervención humana son requisitos obligatorios, no solo buenas prácticas.
  2. GLBA exige a las instituciones financieras proteger la NPI de los clientes contra accesos no autorizados: los agentes de IA que acceden a esa información deben cumplir los mismos requisitos de protección que los empleados humanos.
  3. NYDFS Parte 500 (enmiendas de 2023) exige explícitamente que las instituciones financieras incluyan sistemas de IA en sus programas de ciberseguridad: convirtiéndose en la regulación estadounidense más específica sobre gobernanza de IA en servicios financieros.
  4. PCI DSS restringe el acceso de agentes de IA a datos de titulares de tarjetas bajo los mismos requisitos de necesidad de saber e identificación única que se aplican a los usuarios humanos.
  5. Para instituciones que trabajan en mercados de la UE, los requisitos de riesgo TIC de DORA y las obligaciones de toma de decisiones automatizadas de GDPR crean exigencias de cumplimiento paralelas que deben cumplirse junto a las estadounidenses.

Panorama del Cumplimiento de IA en Servicios Financieros

SR 11-7: Gestión de Riesgo de Modelos. La guía SR 11-7 de la Reserva Federal y OCC es el marco base de gobernanza de IA para la banca y servicios financieros en EE. UU. Exige que los modelos — incluyendo IA y aprendizaje automático — estén sujetos a desarrollo riguroso, validación y monitoreo continuo. Para IA, SR 11-7 exige: documentación del propósito y supuestos del modelo; validación independiente del desempeño y limitaciones; monitoreo continuo para detectar desviaciones, sesgos y comportamientos inesperados; documentación de intervención humana con procesos claros de escalamiento; y criterios definidos de retiro del modelo. Los modelos de IA que influyen en decisiones de crédito, detección de fraude, trading o evaluación de riesgo de clientes están plenamente dentro del alcance. FINRA y la CFTC han emitido guías paralelas para brokers y participantes de mercados de derivados.

Regla de Salvaguardas GLBA. GLBA exige a las instituciones financieras proteger la seguridad y confidencialidad de la información personal no pública (NPI). Las enmiendas de 2023 añadieron requisitos específicos de cifrado, controles de acceso, MFA y retención de registros de auditoría que aplican a todos los sistemas que gestionan NPI, incluidos los agentes de IA que acceden a datos de cuentas, historiales de transacciones o perfiles de crédito de clientes. El estándar de mínimo necesario que implica GLBA debe aplicarse a nivel operativo para los agentes de IA, no solo a nivel de sistema o carpeta.

NYDFS Parte 500. Las enmiendas de 2023 son la regulación estadounidense más específica en abordar directamente el riesgo de IA en servicios financieros. NYDFS Parte 500 exige que las entidades cubiertas incluyan sistemas de IA en sus programas de ciberseguridad, mantengan controles de acceso sobre los datos accesibles por IA y produzcan evidencia de auditoría durante inspecciones. El requisito de certificación anual convierte la gobernanza de IA en una responsabilidad a nivel de junta directiva, no solo técnica.

PCI DSS. PCI DSS regula cualquier sistema que almacene, procese o transmita datos de titulares de tarjetas. Para sistemas de IA: identificación única para cada agente de IA en el entorno de datos de titulares de tarjetas; acceso mínimo necesario; registro continuo de actividades; y cifrado fuerte en tránsito y en reposo. Las herramientas de IA en procesamiento de pagos, detección de fraude o flujos de atención al cliente que acceden a datos de tarjetas están dentro del alcance de PCI DSS sin excepción.

DORA. Para instituciones financieras reguladas en la UE, el cumplimiento de DORA exige gestión de riesgos TIC que cubra explícitamente los sistemas de IA: clasificación de riesgos, controles de acceso, registros auditables, pruebas de resiliencia y evaluación de proveedores de IA bajo el marco de riesgo de terceros de DORA.

GDPR. Las empresas de servicios financieros que atienden a clientes de la UE deben cumplir las obligaciones del Artículo 22 de GDPR para decisiones automatizadas en scoring crediticio, detección de fraude y evaluación de riesgos de clientes: base legal, transparencia y derecho a revisión humana, además de DORA y requisitos prudenciales nacionales.

Tabla 1: Requisitos de Cumplimiento de IA para Empresas de Servicios Financieros
Marco Disparador de IA Requisito Clave Examinado Por
SR 11-7 Modelo de IA que influye en decisiones financieras Validación, monitoreo continuo, documentación de intervención humana, proceso de escalamiento definido Reserva Federal, OCC, FDIC en exámenes de seguridad y solidez
Regla de Salvaguardas GLBA IA que accede o procesa información personal no pública Controles de acceso, cifrado, MFA, retención de registros de auditoría para interacciones IA-NPI FTC, reguladores prudenciales en revisiones de programas de seguridad de la información
NYDFS Parte 500 Sistema de IA dentro del programa de ciberseguridad de la entidad cubierta IA incluida en inventario de activos, controles de privilegios de acceso, evidencia de registro de auditoría NYDFS en exámenes de ciberseguridad; requisito de certificación anual
PCI DSS IA que accede al entorno de datos de titulares de tarjetas Identificación única de agente de IA, acceso de mínimo privilegio, registro continuo, cifrado fuerte QSA en evaluaciones PCI; bancos adquirentes; marcas de tarjetas
DORA Sistema de IA en entorno TIC de entidad financiera regulada por la UE Clasificación de riesgo TIC, controles de acceso, registros auditables, evaluación de proveedor de IA de terceros Autoridades competentes nacionales en estados miembros de la UE
GDPR Artículo 22 Decisiones automatizadas con efectos legales o significativos sobre interesados de la UE Base legal, transparencia, derecho a revisión humana para IA de scoring, fraude y riesgo Autoridades supervisoras de la UE; DPA en estados miembros

Dónde la IA Genera las Mayores Brechas de Cumplimiento en Servicios Financieros

Riesgo de modelo sin infraestructura de gobernanza de modelos. La brecha más común en IA para servicios financieros es implementar modelos que cumplen los requisitos de desarrollo y validación de SR 11-7, pero carecen del monitoreo continuo y la infraestructura de intervención humana que también exige la guía. SR 11-7 es claro: la validación no es un filtro único, sino un proceso continuo. Los modelos de IA en producción deben monitorearse por desviaciones de desempeño, sesgos y resultados inesperados; esos resultados deben ser revisados por personas calificadas; y el proceso de intervención — quién puede intervenir, cómo y cuándo — debe estar documentado y probado. La mayoría de las empresas tienen mejores prácticas de desarrollo de modelos que de monitoreo, y la adopción de IA está ampliando esa brecha.

Acceso de agentes de IA a datos financieros de clientes sin controles a nivel operativo. La Regla de Salvaguardas de GLBA y NYDFS Parte 500 exigen controles de acceso que limiten quién — y qué IA — puede acceder a información personal no pública. El fallo típico: agentes de IA con acceso amplio a repositorios de datos de clientes, operando sin la aplicación de ABAC a nivel operativo que restringe a cada agente solo a los datos que requiere su función específica. Un modelo de IA que genera reportes de portafolio de clientes y puede acceder a todos los registros de la base de datos — no solo a los relevantes para su tarea actual — está fuera del estándar de mínimo necesario de GLBA y de los requisitos de privilegios de acceso de NYDFS al mismo tiempo.

Brechas en registros auditables para decisiones financieras impulsadas por IA. Los reguladores que examinan la gobernanza de IA en servicios financieros piden siempre la misma evidencia: ¿a qué accedió la IA, cuándo, bajo qué autorización y qué decisión influyó? La mayoría de las empresas no pueden producir esta evidencia a nivel operativo para interacciones impulsadas por IA. Los registros de auditoría que capturan la actividad de la sesión pero no las interacciones individuales con los datos no cumplen con los requisitos de monitoreo de modelos de SR 11-7, las obligaciones de registro de NYDFS Parte 500 ni los estándares de registro de GLBA. La infraestructura de auditoría a prueba de manipulaciones y a nivel operativo requerida es la misma en los tres marcos — y debe alimentar un SIEM para monitoreo continuo, no solo estar disponible de forma retrospectiva.

IA de terceros sin gobernanza de IA de terceros. Las empresas de servicios financieros consumen mucha IA de terceros — integrada en plataformas de trading, herramientas de gestión patrimonial, sistemas de monitoreo de cumplimiento y aplicaciones de atención al cliente. Los requisitos de gestión de riesgo de terceros de DORA, la guía de riesgo de modelos de proveedores de SR 11-7 y la Regla de Salvaguardas de GLBA imponen obligaciones sobre cómo se selecciona, monitorea y gobierna la IA de terceros. La brecha específica: empresas que hacen debida diligencia de ciberseguridad a proveedores, pero no de gobernanza específica de IA — si la IA del proveedor produce salidas auditables, cumple requisitos de cifrado a nivel de datos y proporciona registros de acceso requeridos para inspección.

¿Qué estándares de cumplimiento de datos importan?

Lee ahora

Nuevas Guías Específicas de IA para Servicios Financieros

Divulgación y gobernanza de IA según la SEC. La SEC exige a las empresas públicas — incluidas las de servicios financieros — divulgar riesgos materiales de IA y los procesos de gobernanza que los gestionan. Para gestores de activos y brokers, la SEC y FINRA han señalado que se enfocarán en la gobernanza de IA en recomendaciones de inversión, comunicaciones con clientes y sistemas de trading. La infraestructura de gobernanza de IA que produce evidencia documentada y auditable de controles es el estándar que aplican los examinadores.

Guía de IA de OCC y Reserva Federal. Los reguladores bancarios estadounidenses han publicado declaraciones sobre el uso responsable de IA, haciendo énfasis en la explicabilidad, la equidad y la documentación de gobernanza como expectativas de inspección. Los procedimientos de préstamos justos de OCC ahora abordan explícitamente los sistemas de decisión crediticia impulsados por IA, exigiendo evidencia de validación para impacto dispar y mecanismos genuinos — no nominales — de supervisión humana.

Circular FINMA 2023/1. La guía de riesgo operativo de FINMA aborda explícitamente los sistemas de decisión algorítmica e impulsados por IA en instituciones financieras suizas, exigiendo documentación de gobernanza, monitoreo continuo y responsabilidad de la alta dirección. Las empresas internacionales con operaciones en Suiza enfrentan los requisitos de FINMA como una capa adicional de cumplimiento.

Ley de IA de la UE — IA financiera de alto riesgo. La Ley de IA de la UE clasifica la IA utilizada en scoring crediticio, evaluación de riesgos de seguros y ciertas funciones de asesoría de inversión como de alto riesgo — lo que activa requisitos de evaluación de conformidad, supervisión humana y documentación técnica. Para empresas en mercados de la UE, esto suma un tercer marco además de DORA y GDPR para implementaciones de IA financiera de alto riesgo.

Cómo Construir un Programa de IA Cumplidor para Servicios Financieros

Los requisitos de gobernanza convergen en los mismos controles técnicos en SR 11-7, GLBA, NYDFS, PCI DSS y DORA. Una arquitectura de gobernanza de datos única — acceso autenticado, políticas de acceso a nivel operativo, cifrado validado y registros auditables a prueba de manipulaciones — cumple el estándar probatorio en todos ellos.

Incluye la IA en tu programa de gestión de riesgo de modelos desde el primer día. SR 11-7 aplica a modelos de IA igual que a modelos estadísticos. Cada modelo de IA que influya en decisiones financieras debe tener una entrada en el inventario de modelos, un registro de validación, un plan de monitoreo continuo con umbrales definidos y un proceso documentado de intervención humana. Implementar IA sin estos elementos no cumple SR 11-7, sin importar la sofisticación del modelo.

Aplica controles de acceso a nivel operativo para agentes de IA. GLBA, NYDFS Parte 500 y PCI DSS exigen controles de acceso que limiten la IA al mínimo necesario para cada función. La aplicación de políticas ABAC a nivel operativo — evaluada contra la identidad autenticada del agente, la clasificación de los datos y el contexto de la solicitud — cumple estos requisitos a la vez. Los permisos a nivel de carpeta no son suficientes.

Implementa cifrado validado por FIPS para datos financieros procesados por IA. GLBA, NYDFS y PCI DSS exigen cifrado fuerte para datos financieros en tránsito y en reposo. El cifrado validado FIPS 140-3 Nivel 1 cumple los requisitos de inspección en los tres marcos. Verifica que las herramientas de IA que procesan NPI o datos de tarjetas proporcionen este nivel — TLS estándar no es suficiente.

Genera registros auditables a nivel operativo que alimenten tu SIEM. El monitoreo de modelos de SR 11-7, los requisitos de registro de NYDFS, los estándares de registro de GLBA y el monitoreo TIC de DORA exigen la misma evidencia: qué accedió la IA, cuándo, bajo qué autorización y qué produjo. Los registros auditables a nivel operativo atribuidos a agentes autenticados y alimentados continuamente a tu SIEM cumplen los cuatro marcos con una sola inversión.

Evalúa la IA de terceros bajo tu programa de gobernanza de proveedores. Cada plataforma de IA de terceros que use tu empresa debe evaluarse por su gobernanza específica de IA — no solo por su postura general de ciberseguridad. Verifica cifrado FIPS, registros auditables a nivel operativo y las prácticas de riesgo de modelos del proveedor. Los programas de GRC que evalúan la seguridad del proveedor pero no su gobernanza de IA están incompletos para fines regulatorios en servicios financieros.

Kiteworks AI Cumplidor: Diseñado para el Entorno Regulatorio de Servicios Financieros

Las empresas de servicios financieros necesitan gobernanza de IA que produzca la evidencia específica que sus reguladores van a revisar — no herramientas de cumplimiento genéricas que solo se aproximan al estándar. Kiteworks AI cumpliendo entrega esa evidencia dentro de la Red de Datos Privados, a nivel de datos, antes de cualquier interacción de agentes de IA con datos financieros de clientes.

Cada agente de IA se autentica con una identidad vinculada a un autorizador humano, cumpliendo los requisitos de responsabilidad de SR 11-7 y los controles de privilegios de acceso de NYDFS Parte 500.

La política ABAC aplica el acceso mínimo necesario a nivel operativo, cumpliendo simultáneamente con la Regla de Salvaguardas GLBA, NYDFS y los requisitos de control de acceso de PCI DSS.

El cifrado validado FIPS 140-3 Nivel 1 protege los datos financieros de clientes en tránsito y en reposo en todos los marcos. Un registro auditable a prueba de manipulaciones por interacción alimenta tu SIEM, cumpliendo monitoreo SR 11-7, registro de auditoría NYDFS, registro GLBA, monitoreo TIC DORA y los requisitos de registros del Artículo 30 de GDPR en un solo registro continuo.

Cuando tu examinador de OCC, NYDFS o QSA de PCI pregunte cómo gobiernas el acceso de IA a datos financieros de clientes, la respuesta es un paquete de evidencia — no un documento de política.

Contáctanos para ver cómo Kiteworks respalda el cumplimiento de IA para empresas de servicios financieros en toda tu pila regulatoria.

Preguntas Frecuentes

Sí. SR 11-7 define un modelo de forma amplia como «un método, sistema o enfoque cuantitativo que aplica teorías, técnicas y supuestos estadísticos, económicos, financieros o matemáticos para procesar datos de entrada en estimaciones cuantitativas». Los modelos de aprendizaje automático e IA que influyen en decisiones financieras — scoring crediticio, detección de fraude, trading, evaluación de riesgo de clientes — encajan plenamente en esta definición. Los requisitos de la guía para desarrollo, validación, monitoreo continuo e intervención humana aplican a modelos de IA con el mismo rigor que a los modelos estadísticos tradicionales. Los reguladores han dejado claro en guías de inspección y acciones de aplicación que los requisitos de SR 11-7 no pueden ser omitidos ni suavizados para modelos de IA por el hecho de que su complejidad dificulte una validación completa.

Las enmiendas de 2023 a NYDFS Parte 500 exigen que las instituciones financieras cubiertas incluyan sistemas de IA en sus programas de ciberseguridad como expectativa regulatoria explícita. Los requisitos específicos incluyen: mantener un inventario completo de activos que incluya sistemas de IA; implementar controles de privilegios de acceso sobre los datos accesibles por IA; mantener registros de auditoría suficientes para detectar y responder a incidentes de ciberseguridad que involucren IA; y realizar evaluaciones periódicas de riesgos que aborden riesgos relacionados con IA. La regulación también exige certificación anual de cumplimiento por parte de altos directivos — haciendo de la gobernanza de IA una responsabilidad a nivel de junta directiva, no solo técnica. Los examinadores de NYDFS están evaluando activamente la gobernanza de IA durante los ciclos de inspección.

La Regla de Salvaguardas de GLBA exige a las instituciones financieras implementar un programa integral de seguridad de la información que proteja la información personal no pública contra accesos y usos no autorizados. Las enmiendas de 2023 añadieron requisitos específicos — cifrado, controles de acceso con estándares de autorización definidos, autenticación multifactor y retención de registros de auditoría — que aplican a todos los sistemas que acceden a NPI, incluidos los sistemas de IA. Un agente de IA que accede a datos de cuentas de clientes, genera reportes financieros o procesa solicitudes de préstamos debe cumplir estos requisitos de protección. El estándar de mínimo necesario que implica GLBA — acceso limitado a lo requerido para la función específica — debe aplicarse a nivel operativo para agentes de IA, no solo a nivel de sistema o carpeta.

Cualquier sistema de IA que almacene, procese o transmita datos de titulares de tarjetas — o que tenga acceso al entorno de datos de titulares de tarjetas — está dentro del alcance de PCI DSS. Los requisitos específicos incluyen: un identificador único para cada agente de IA que acceda al CDE; acceso restringido al mínimo necesario para la necesidad del negocio; todo acceso a datos de titulares de tarjetas registrado con suficiente detalle para reconstruir la actividad; y cifrado fuerte para datos de titulares de tarjetas en tránsito y en reposo. Las herramientas de IA integradas en procesamiento de pagos, detección de fraude o flujos de atención al cliente que acceden a datos de tarjetas deben evaluarse como parte del ejercicio de alcance PCI — su presencia en el CDE no queda excluida automáticamente por el hecho de ser sistemas de IA en vez de usuarios humanos.

Para empresas de servicios financieros con operaciones o clientes en la UE, DORA y GDPR se suman — y no reemplazan — a los requisitos regulatorios estadounidenses. La gestión de riesgos TIC y de terceros de DORA aplica a sistemas de IA en entidades reguladas por la UE, exigiendo clasificación de riesgos, controles de acceso, registros auditables y evaluación de proveedores que se alinean con los requisitos de SR 11-7 y GLBA en EE. UU. El Artículo 22 de GDPR impone obligaciones adicionales para decisiones automatizadas que afectan a interesados de la UE — IA de scoring crediticio, detección de fraude y evaluación de riesgos debe cumplir requisitos de base legal, transparencia y revisión humana. La implicación práctica de gobernanza: una arquitectura de gobernanza de datos única que aplique acceso autenticado, política ABAC, cifrado FIPS y registros auditables a prueba de manipulaciones cumple el estándar probatorio en marcos de EE. UU. y la UE a la vez, reduciendo la carga de cumplimiento internacional.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Brecha de Gobernanza de IA: Por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe un «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks