Cumplimiento
La pestaña Cumplimiento del módulo GRC en /grc?tab=compliance es un registro de doble fuente: cada hallazgo o bien fue redactado por un revisor o fue producido por un escaneo IA contra una regulación — y ambos tipos de hallazgos viven y se triagean lado a lado en la misma cuadrícula.

Seis regulaciones vienen habilitadas por defecto — EU AI Act, RGPD, NIS2, DORA, SOC 2, ISO/IEC 27001. Los administradores pueden habilitar, deshabilitar o añadir regulaciones personalizadas (p.ej. HIPAA, frameworks de política interna) bajo Administración → Metamodelo → Regulaciones.
Dos formas en que los hallazgos llegan al registro
| Fuente | Quién lo crea | Cuándo usar |
|---|---|---|
| Manual | Un usuario con compliance.manage hace clic en + Nuevo hallazgo en la cuadrícula de Cumplimiento | Obligaciones derivadas de auditorías, brechas reportadas externamente, atestaciones de terceros, cualquier cosa que se quiera rastrear que un escaneo LLM no haría aflorar |
| Escaneo IA (TurboLens) | Un usuario con compliance.manage dispara un escaneo desde la barra de herramientas de Cumplimiento | Análisis de brechas periódico del paisaje contra las regulaciones habilitadas |
Las dos vías comparten el mismo modelo de datos y ciclo de vida. Un escaneo nunca borra ni anula un hallazgo manual, y un hallazgo introducido manualmente puede ser promovido a un Riesgo, propagado de vuelta desde un cierre de Riesgo y bulk-actionado exactamente como uno detectado por IA.
Crear un hallazgo manualmente
Haz clic en + Nuevo hallazgo en la barra de herramientas de Cumplimiento para abrir el diálogo de creación. Campos requeridos:
| Campo | Descripción |
|---|---|
| Regulación | Elige una de las regulaciones habilitadas. Determina el selector de artículo. |
| Artículo | Identificador de texto libre (Art. 6, § 32, Anexo II, …). Normalizado al guardar para que los re-escaneos no dupliquen la fila. |
| Requisito | La cláusula o control que estás rastreando. |
| Estado | new, in_review, mitigated, verified, accepted, not_applicable, risk_tracked. Por defecto new. |
| Severidad | low, medium, high, critical. |
| Brecha | Descripción de la brecha u observación. |
| Evidencia | Evidencia de respaldo, notas de auditoría, enlaces. |
| Remediación | Remediación sugerida. Usada como semilla para la tarea de mitigación si luego promueves el hallazgo a un Riesgo. |
| Tarjeta vinculada | Opcional — limitar el hallazgo a una Aplicación, Componente IT u otra tarjeta específica. |
| Riesgo vinculado | Opcional — pre-vincular a un Riesgo existente si uno ya rastrea esta brecha. |
compliance.manage es requerido para crear, editar, retirar o bulk-actionar hallazgos. compliance.view basta para leer el registro y triagear desde la pestaña Cumplimiento a nivel de tarjeta.
Editar un hallazgo
Abra un hallazgo — desde la cuadrícula de Cumplimiento o desde la pestaña Cumplimiento de una tarjeta — y haga clic en Editar en el panel para cambiar, después de su creación, su estado de cumplimiento (por ejemplo Conforme → Parcial), severidad, requisito, brecha, evidencia, remediación, artículo o tarjeta vinculada. Editar el contenido no altera la decisión del ciclo de vida del hallazgo; use para ello la línea de tiempo del ciclo de vida. Requiere compliance.manage.
Ejecutar un escaneo IA
Los hallazgos manuales funcionan en cualquier despliegue. Los escaneos IA requieren un proveedor IA comercial (Anthropic Claude, OpenAI, DeepSeek o Google Gemini) configurado en Configuración IA.
Marca las regulaciones a incluir y haz clic en Ejecutar escaneo de cumplimiento. El escaneo corre en segundo plano como un análisis TurboLens:
- Cargando tarjetas — se obtiene el snapshot vivo del paisaje.
- Detección IA semántica — el nombre, descripción, proveedor e interfaces vinculadas de cada tarjeta se revisan en busca de señales IA / ML (LLMs, motores de recomendación, visión por computador, scoring de fraude o crédito, chatbots, analítica predictiva, detección de anomalías). Las tarjetas marcadas aquí llevan un chip IA detectada en la cuadrícula incluso cuando su subtipo no es
AI Agent/AI Model. - Verificación por regulación — el LLM configurado ejecuta la checklist de la regulación contra las tarjetas en alcance.
La página renderiza una barra de progreso live consciente de las fases. Refrescar la página no interrumpe el escaneo — la tarea de fondo sigue corriendo en el servidor, y la UI re-engancha el bucle de poll al montaje vía /turbolens/security/active-runs.
El escaneo solo reemplaza hallazgos para las regulaciones que has scopeado. Los hallazgos de otras regulaciones quedan intactos.
Cómo coexisten los hallazgos manuales e IA
Los hallazgos de cumplimiento se upsertean por (scope, card, regulation, normalised_article). Esa clave evita colisiones entre las dos fuentes:
- Un hallazgo manual que el próximo escaneo IA también produciría se reconcilia con la fila existente — tu evidencia, notas de revisión y estado sobreviven; solo se refresca el texto LLM de brecha / remediación si cambió.
- Un hallazgo detectado por IA que la próxima pasada ya no reporta no se elimina. Se marca como
auto_resolved=truey se oculta por defecto, de modo que su historial y cualquier enlace de vuelta a un Riesgo promovido queden intactos. - El veredicto IA del usuario sobre una tarjeta (
hasAiFeatures = true / false) también persiste. Si confirmas o rechazas la clasificación IA-bearing del LLM, esa decisión sobrescribe al detector en escaneos posteriores — la deriva LLM no puede re-scopear silenciosamente un hallazgo.
Flujo de estados
Los hallazgos tienen un camino principal de 4 estados con 3 ramas laterales, renderizado como una línea de tiempo horizontal de fases en el panel de detalle:
new → in_review → mitigated → verified
↘ accepted (rama lateral, requiere justificación)
↘ not_applicable (rama lateral, revisión de alcance)
↘ risk_tracked (establecido automáticamente al promover a Riesgo)
Las transiciones están restringidas a usuarios con compliance.manage. El motor impone las transiciones del lado servidor y rechaza movimientos ilegales con un error claro.
risk_tracked nunca se establece a mano — se escribe automáticamente cuando haces clic en Crear riesgo en un hallazgo, y es limpiado por el motor de retropropagación del Riesgo cuando el Riesgo vinculado se cierra.