Producto
Cuatro módulos. Un solo recorrido. Del alta del sistema al informe al consejo.
Stratum cubre AI Act e ISO 42001 sin obligar al cliente a comprar dos herramientas. Construido en arquitectura multitenant europea, con IA dentro del producto y trazabilidad completa de toda decisión.
Módulo 01
Inventario de sistemas de IA
El inventario es el cimiento. Sin un registro fiable de qué sistemas de IA usa la organización —propios, de terceros, embebidos en servicios cloud, modelos generativos en manos de empleados— la clasificación y la documentación carecen de objeto.
La cláusula 7.5 de ISO 42001 exige información documentada del sistema; el artículo 49 del AI Act exige registro de sistemas de alto riesgo. El 80% de las empresas medianas españolas no dispone hoy de este inventario.
Asistencia IA
La descripción libre del propósito se analiza con un modelo de lenguaje que sugiere área de negocio, categorías de datos probables y contexto de uso. El usuario confirma o corrige. Alta de un sistema: de 15 minutos a 3-4 minutos.
Módulo 02
Clasificación de riesgo AI Act
El AI Act establece cuatro niveles de riesgo —prohibido, alto, limitado, mínimo— con obligaciones radicalmente distintas. La clasificación es la decisión más sensible del marco: una mala clasificación expone a multas de hasta 35 millones de euros o el 7% de la facturación global.
Stratum convierte ese juicio en proceso reproducible y auditable. Cuestionario de 15 a 25 preguntas ligadas al Anexo I y al Anexo III. Lógica determinista para las reglas claras del Reglamento, razonamiento del modelo para los casos límite. Propuesta de clasificación con justificación textual de tres a cinco párrafos. El usuario aprueba o modifica.
Responsabilidad humana
La clasificación nunca es exclusivamente generada por IA. La herramienta propone; el usuario aprueba. Cualquier reclasificación queda registrada con autor, fecha y motivo. Trazabilidad obligatoria.
Módulo 03
Documentación y evidencias
Una vez clasificado el sistema, la norma exige documentación específica. Para sistemas de alto riesgo, el Anexo IV del AI Act requiere ficha técnica completa, evaluación de impacto en derechos fundamentales (FRIA), política de gestión de riesgos, plan de supervisión humana. ISO 42001 añade política general, evaluación de partes interesadas, gestión de incidentes.
La generación desde cero es la barrera principal del cumplimiento: de 12 a 20 documentos por sistema, entre 5 y 10 horas cada uno. Stratum los genera como borradores con la información ya registrada, sección por sección, marcando qué partes son de confianza alta y qué partes requieren completar manualmente.
Catálogo inicial
Política general de gobernanza de IA, ficha técnica, FRIA, política de riesgos, plan de supervisión humana, registro de pruebas, gestión de incidentes, declaración de transparencia, evaluación de partes interesadas, plan de retirada.
Módulo 04
Informe ejecutivo
El comprador —CEO, comité de dirección, dirección de riesgos— no usa la herramienta a diario. Lo que necesita es una vista que le diga, en una pantalla y en un PDF llevable al consejo, dónde está la organización respecto a su obligación de gobernanza de IA.
Cobertura del inventario, distribución de riesgo por categoría AI Act, estado de cumplimiento documental, hitos regulatorios próximos (agosto 2026 propósito general, agosto 2027 alto riesgo), incidentes y excepciones. Cada indicador es clicable y lleva al detalle. El informe se exporta a PDF con texto ejecutivo redactado para el consejo.
Por qué importa
Sin este módulo, el SaaS es percibido como herramienta operativa de mando intermedio y no entra en el presupuesto que lo aprueba. Con él, se convierte en instrumento de reporte ejecutivo. Eso justifica el precio y el carácter recurrente.
Arquitectura
Tres decisiones tomadas el primer día
Multitenant desde el inicio
Datos de cada cliente aislados mediante Row Level Security a nivel de base de datos. Sin trabajo de reescritura posterior cuando aparecen los grupos.
Datacenter europeo a elección
Madrid por defecto. París, Frankfurt o Dublín según exigencias del cliente. Sin transferencia internacional fuera de la UE. Coherencia con la posición intelectual del producto.
No entrenamiento con datos del cliente
Compromiso contractual, no declaración comercial. Los datos del cliente nunca se envían a entrenar modelos. La IA se usa como instrumento; los datos siguen siendo del cliente.
Alcance
Lo que Stratum no es
La claridad sobre el perímetro es parte del producto. Stratum hace gobernanza, no hace operación de modelos en producción ni reemplaza categorías regulatorias vecinas.
- — No es MLOps. La monitorización en tiempo real de bias, drift y performance pertenece a la operación, no a la gobernanza.
- — No es DPIA bajo RGPD. La evaluación de impacto en protección de datos es un mercado vecino con sus propias herramientas.
- — No es plataforma de formación. La alfabetización de empleados sobre IA es un producto adyacente, no parte del MVP.
- — No es detector de shadow AI. El uso no autorizado de IA generativa por empleados es tendencia relevante, pero no entra en el perímetro de gobernanza formal.
¿Quieres ver cómo funciona con un sistema real de tu organización?
Demo guiada de 30 minutos. Inventario, clasificación, generación de un documento técnico y vista del informe ejecutivo.