Preguntas frecuentes
Lo que conviene saber antes de la primera demo.
Respuestas concretas sobre regulación, producto y seguridad. Sin marketing y sin promesas que no podamos sostener por contrato.
Regulación
AI Act e ISO 42001
¿Cuándo aplica realmente el AI Act a mi organización?
El Reglamento (UE) 2024/1689 se aplica de forma escalonada. Las prohibiciones del artículo 5 y las obligaciones de alfabetización entraron en vigor en febrero de 2025. Las obligaciones para sistemas de propósito general (GPAI) aplican desde agosto de 2025. La aplicación general del reglamento llega en agosto de 2026. Y los sistemas de alto riesgo del Anexo III, así como los sistemas integrados en productos regulados, en agosto de 2027.
¿Qué sanciones contempla el AI Act?
Hasta 35 millones de euros o el 7% de la facturación global anual, lo que sea mayor, por incumplimiento de las prácticas prohibidas. Hasta 15 millones o el 3% por incumplimiento de obligaciones aplicables a sistemas de alto riesgo. La estructura sancionadora replica la del RGPD, pero con cuantías superiores.
¿Qué diferencia hay entre AI Act e ISO 42001?
El AI Act es Reglamento europeo, vinculante, con sanciones. ISO 42001 es estándar voluntario, certificable por terceros como SGS, AENOR o Bureau Veritas. Cubren capas distintas: el AI Act regula obligaciones jurídicas por nivel de riesgo del sistema; ISO 42001 estructura el sistema de gestión de IA dentro de la organización. Stratum cubre ambos en el mismo recorrido porque tratarlos por separado fragmenta el producto y obliga al cliente a comprar dos herramientas.
¿Estoy obligado a certificarme en ISO 42001?
No es obligatorio. Pero en sectores donde la cadena de suministro ya exige certificaciones de gestión (ISO 27001, ISO 9001), la 42001 entrará en los pliegos de licitación y en las auditorías de cliente durante los próximos 18-24 meses. La certificación voluntaria se está convirtiendo en exigencia comercial de facto.
¿Y la relación con NIS2 y el ENS?
NIS2 y el Esquema Nacional de Seguridad regulan ciberseguridad de sectores críticos; el AI Act regula sistemas de IA. Son marcos distintos pero complementarios. Si tu organización está sujeta a NIS2 o ENS y además opera sistemas de IA, conviene tratar la gobernanza de IA como capa adicional, no como parte de la política de seguridad existente. Stratum cubre la capa de IA; tu programa NIS2/ENS continúa donde estaba.
¿Mi sistema cae en "alto riesgo" o no?
Depende del Anexo III del Reglamento. Sistemas de selección de personal, evaluación crediticia, biometría en espacio público, infraestructuras críticas, educación, justicia y orden público son ejemplos típicos. El cuestionario asistido del Módulo 2 de Stratum guía la clasificación caso por caso con justificación documentada citando artículo o anexo aplicable. La clasificación queda registrada con autor, fecha y trazabilidad de respuestas.
Producto
Cómo funciona Stratum
¿Cuánto tarda mi organización en estar operativa?
Onboarding guiado de 5 pasos para el administrador, alta del primer sistema de IA en 3-4 minutos con la asistencia del modelo. Una organización con 10-20 sistemas tiene inventario completo en una sesión de medio día. Clasificación y generación de documentación dependen del volumen, pero el primer informe ejecutivo presentable al consejo se obtiene en la primera semana.
¿En qué se diferencia Stratum de una consultoría puntual?
La consultoría produce entregables que envejecen. El AI Act y los sistemas de IA de tu organización cambian; los documentos de consultoría no. Stratum mantiene la gobernanza viva: cuando un sistema cambia de propósito, cuando aparece un hito regulatorio, cuando se incorpora un nuevo proveedor, el sistema actualiza el estado y avisa. Es la diferencia entre comprar un dictamen y operar un proceso.
¿La IA del producto puede equivocarse al clasificar un sistema?
La clasificación nunca es exclusivamente generada por IA. El modelo propone con justificación textual de 3-5 párrafos; el usuario aprueba o modifica. Esta separación preserva la responsabilidad humana que la propia normativa exige, y deja por escrito quién toma cada decisión, cuándo y por qué.
¿Qué documentos genera el sistema?
El catálogo inicial incluye política general de gobernanza de IA, ficha técnica conforme al Anexo IV del AI Act, evaluación de impacto en derechos fundamentales (FRIA) para sistemas de alto riesgo, política de gestión de riesgos, plan de supervisión humana, registro de pruebas y validación, procedimiento de gestión de incidentes, declaración de transparencia, evaluación de partes interesadas según ISO 42001 cláusula 4.2 y plan de retirada del sistema.
¿Puedo personalizar las plantillas a mi sector?
En planes Base y Estándar las plantillas son las del catálogo MVP, con campos completables según el sistema concreto. En plan Enterprise se construyen plantillas adicionales o se adaptan las existentes a terminología sectorial específica (aerospace, defensa, energía). En todos los casos, el cliente puede editar libremente el contenido del borrador antes de aprobarlo.
¿Se integra con otras herramientas que ya uso?
SSO via SAML/OIDC desde plan Estándar (compatible con Microsoft Entra ID y Google Workspace). Exportación a CSV y PDF en todos los planes. Integración con GRC corporativo (ServiceNow, Archer, OneTrust) y conectores específicos en plan Enterprise, valorados caso por caso.
Seguridad y datos
Cómo tratamos tus datos
¿Dónde se alojan mis datos?
Madrid por defecto, con alternativa en París, Frankfurt o Dublín a elección del cliente. Sin transferencia internacional fuera de la UE. Esto es compromiso contractual, no práctica comercial.
¿Los datos de mi organización se usan para entrenar modelos de IA?
No. Compromiso contractual explícito en términos de servicio y respaldado por el contrato con el proveedor de IA elegido. Los datos del cliente nunca se utilizan para entrenamiento de modelos, ni propios ni del proveedor de la API. Esto es diferenciador frente a soluciones que reservan ese uso en letra pequeña.
¿Cómo se aíslan los datos de mi organización de los de otros clientes?
Arquitectura multitenant con Row Level Security a nivel de base de datos, no a nivel de lógica de aplicación. Cada consulta SQL filtra por tenant en el motor PostgreSQL. Esto evita la categoría completa de errores de fuga entre clientes que se da en aplicaciones donde el aislamiento se delega al código.
¿Qué certificaciones tiene Stratum?
En MVP, conformidad documentada con RGPD y compromiso público con ISO 27001 e ISO 42001 (la primera certificación es objetivo de los primeros 18 meses). En plan Enterprise se firman DPA específicos y cláusulas contractuales adaptadas. Para clientes en sectores con exigencias adicionales (defensa, ENS Alto), la conversación se aborda caso por caso.
¿Y si quiero salir de Stratum? ¿Me llevo mis datos?
Sí. Exportación completa a formatos abiertos (CSV, PDF, Markdown) disponible en cualquier momento, sin coste. No hay lock-in técnico: los documentos generados son tuyos y permanecen tuyos. El acuerdo de tratamiento de datos (DPA) explicita el procedimiento de devolución y borrado al finalizar el contrato.
Comercial
Contratación y soporte
¿Puedo probar Stratum antes de contratar?
Sí. La forma estándar es una demo guiada de 30 minutos con un sistema real de la organización: llegas con un sistema de IA que ya tienes, sales con la clasificación AI Act hecha y un documento técnico generado. Para clientes Enterprise se ofrece prueba de concepto acotada antes de la firma.
¿Hay coste de implantación?
No en planes Base y Estándar. En Enterprise el onboarding consultivo (mapeo de sistemas existentes, configuración SSO, adaptación de plantillas sectoriales) está incluido en la cuota anual; integraciones a medida con sistemas internos del cliente se valoran caso por caso.
¿Qué nivel de soporte ofrecéis?
Soporte por email en plan Base, prioritario en Estándar (tiempo de respuesta inferior a 8 horas laborables), dedicado en Enterprise con SLA contractual y persona de contacto asignada. En cualquier plan, las actualizaciones del catálogo regulatorio (AI Act, ISO 42001) se aplican sin coste cuando la norma cambia.
Tengo más preguntas sobre precios o contrato.
Las preguntas comerciales específicas (facturación, permanencia, cambio de plan, datacenter) están en la página de precios. Si no encuentras la respuesta, la demo guiada es el camino más rápido para resolverlo: 30 minutos con quien construye el producto, no con un equipo de ventas externo.
¿Queda algo sin resolver?
Una demo de 30 minutos suele responder lo que un texto no llega a cubrir. Llegas con un sistema real y sales con la clasificación AI Act hecha.