Auricus Voice es una appliance de IA de voz soberana, diseñada para cargas reguladas. El audio y las transcripciones permanecen dentro de su red; nada sale del appliance en la ruta de inferencia.
Auricus Voice sigue el paquete de simplificación propuesto — COM(2025) 837 final y COM(2025) 836 final — y aporta las primitivas de ingeniería que los desplegadores necesitarán cuando se adopte.
| Palanca Omnibus (propuesta) | Mecanismo Auricus Voice |
|---|---|
| Notificación de brechas solo alto riesgo, plazo 96 h, punto único ENISA | Registro de auditoría estructurado + alertas SLO Prometheus; paquete de evidencia listo para exportar |
| Exención de operación de sistemas de IA para datos de categorías especiales, condicionada a medidas T&O | Purga por trabajo del audio en almacenamiento de trabajo; transcripciones eliminadas tras la entrega; sin reentrenamiento del modelo con audio del cliente |
| Listas DPIA armonizadas + plantilla común | Diagrama de flujo de datos y declaración de finalidad documentados para apoyar DPIA del cliente; sin perfilado, sin decisiones Art. 22 |
| Punto único para informes de incidentes, «informar una vez, compartir muchas» | Esquema de registro con clave de ID de solicitud, estructurado para ingesta SEP |
| Seudonimización / aclaración «sin medios razonablemente probables de identificar» | Postprocesado opcional de anonimización de hablante en hoja de ruta; el appliance no mantiene por defecto mapeo identificador–voz |
| Rechazo de secreto comercial frente a intercambio de datos con terceros países | Solo on-prem; cero ruta de datos saliente en la ruta caliente de inferencia — la exposición a terceros países es estructuralmente imposible |
| Detección / corrección de sesgo con salvaguardas (Art. 4a AI Act) | Seguimiento WER por idioma, enrutamiento de modelo por idioma y paneles de analítica de idioma segmentan la calidad; los clientes pueden ejecutar monitorización de sesgo sobre estas señales con la disciplina del Art. 4a |
| Transcripción, no generativa — Art. 50(2) marcado N/A | Transcripciones literales de audio de autoría humana; no es un sistema de IA generativa, por lo que la obligación de marcado de contenido sintético no aplica |
| Obligación de alfabetización en IA desplazada a Estados miembros / fomento de la Comisión (Art. 4 AI Act) | Documentación del proveedor, paneles Grafana y runbooks apoyan programas de alfabetización en IA del cliente |
| Entrada vinculada a normas en la aplicación del Capítulo III (Art. 113 AI Act) | Las obligaciones de alto riesgo del Capítulo III solo aplican tras decisión de la Comisión que confirme disponibilidad de normas — margen adicional para despliegues de clientes de alto riesgo sobre Auricus Voice |
Auricus Voice está pensado para integrarse en el mosaico de regulación federal y estatal de EE. UU. que afecta a los datos de voz — y para dar a los desplegadores en sectores regulados las primitivas técnicas que necesitan para cumplir sus obligaciones específicas.
| Marco | Qué cubre | Mecanismo Auricus Voice |
|---|---|---|
| HIPAA Security Rule (45 CFR §§ 164.302–318) y Privacy Rule (45 CFR Part 164, Subpart E) | PHI manejada por entidades cubiertas y business associates | Solo on-prem — la PHI en audio y transcripciones nunca sale de la red del desplegador. Registro de auditoría con ID de solicitud, TLS en tránsito, retención configurable (purga por trabajo) y acceso bearer-token apoyan los controles §§ 164.308, 164.312 y 164.316. Auricus está dispuesto a firmar un Business Associate Agreement (BAA) para despliegues sanitarios. |
| GLBA Safeguards Rule (16 CFR Part 314) | Información financiera del cliente en instituciones financieras | La misma postura on-prem elimina la exposición a procesadores terceros. Registros estructurados y métricas SLO apoyan § 314.4(d)(2) y § 314.4(h). |
| PCI DSS 4.0.1 (en vigor desde 31 mar 2025) | Datos de titular en grabaciones de llamadas (donde pausa-reanudación no es viable de extremo a extremo) | La inferencia on-prem mantiene audio y transcripciones dentro del CDE del desplegador; sin egress de API externa. Registros y controles de acceso apoyan los requisitos PCI DSS 7, 10 y 12 desde el lado del appliance. El cliente conserva la responsabilidad del manejo de SAD/CHD en la propia señal de audio. |
| CJIS Security Policy (FBI, edición vigente) | CJI manejada por agencias y contratistas | Despliegue on-prem, inferencia en EE. UU., sin exposición a terceros países en la ruta de inferencia; registro estructurado y controles de acceso apoyan primitivas § 5.4 y § 5.5. |
| TCPA (47 U.S.C. § 227) y leyes estatales de consentimiento para grabación (CA, CT, FL, IL, MD, MA, MT, NH, PA, WA) | Consentimiento para grabación y llamadas salientes | Auricus Voice no graba audio — lo hace la telefonía o plataforma de centro de contacto existente del desplegador. El appliance recibe audio solo para transcripción y admite retención configurable para alinear aviso y consentimiento. |
| Marco | Mecanismo Auricus Voice |
|---|---|
| CCPA / CPRA (Cal. Civ. Code § 1798.100 et seq.) más las regulaciones ADMT de la CPPA | Las grabaciones de voz pueden ser «información personal» e «información personal sensible» (identificadores biométricos) bajo § 1798.140(ae). Auricus Voice mantiene esos datos on-prem; la transcripción es literal, sin decisiones automatizadas sobre personas en el producto. |
| Illinois BIPA (740 ILCS 14/), enmendada por P.A. 103-0769 (ago 2024) | Las huellas vocales califican como identificadores biométricos bajo § 10. Auricus Voice no deriva ni almacena huella vocal por defecto; la anonimización de hablante está en hoja de ruta. El appliance no mantiene por defecto mapeo identificador–voz. |
| Texas CUBI (Tex. Bus. & Com. Code § 503.001) y Washington H.B. 1493 | Misma postura — sin extracción de huella por defecto; purga de audio por trabajo; transcripciones eliminadas de almacenes del appliance tras la entrega. |
| Leyes estatales integrales — VCDPA (VA), CPA (CO), CTDPA (CT), UCPA (UT), TIPA (TN), y análogos | Controles de retención on-prem y pistas de auditoría por solicitud apoyan derechos del consumidor (acceso, supresión, exclusión de «venta»/«compartición») en la capa de responsable del tratamiento del desplegador. |
| Colorado AI Act (SB 24-205, en vigor 1 feb 2026) | Donde el desplegador integra Auricus Voice en un «sistema de inteligencia artificial de alto riesgo», el seguimiento WER por idioma, paneles de analítica de idioma y registros estructurados aportan la monitorización de discriminación algorítmica y la evidencia de evaluación de impacto bajo Colo. Rev. Stat. §§ 6-1-1701 a 6-1-1707. El cumplimiento sigue siendo responsabilidad del desplegador. |
| Tennessee ELVIS Act (Tenn. Code Ann. § 47-25-1101 et seq., en vigor 1 jul 2024) y prohibiciones análogas de clonación de voz | Auricus Voice produce transcripciones literales de audio de autoría humana; no sintetiza, clona ni suplanta voces. Las prohibiciones de clonación del ELVIS Act no aplican al producto. |
| Marco | Alineación Auricus Voice |
|---|---|
| NIST Cybersecurity Framework (CSF) 2.0 (feb 2024) | Primitivas Identify / Protect / Detect / Respond / Recover: registros estructurados, SLO Prometheus, aislamiento on-prem, retención configurable, dead-letter en entregas fallidas. |
| NIST AI RMF 1.0 (ene 2023) y Generative AI Profile (NIST AI 600-1, jul 2024) | Auricus Voice no es generativa; produce transcripciones literales. Seguimiento WER por idioma, observabilidad del ciclo de vida del modelo y SLO de calidad se mapean a Measure y Manage. Govern / Map siguen siendo del desplegador. |
| NIST SP 800-53 Rev. 5 | Primitivas del lado del proveedor para familias AC, AU, CM, IR y SC — expuestas mediante auth bearer-token, registros estructurados con ID de solicitud, retención configurable y TLS en el ingreso. |
| NIST SP 800-171 Rev. 3 + DFARS 252.204-7012 / 7021 + CMMC 2.0 (32 CFR Part 170, regla final oct 2024) | Para CUI en datos de voz, la postura on-prem, el registro de auditoría y la ausencia de egress en la ruta caliente apoyan las familias 800-171 relevantes. El desplegador conserva la responsabilidad de la evaluación CMMC 1 / 2 / 3 global. |
| Executive Order 14179 («Removing Barriers to American Leadership in AI», 23 ene 2025) y OMB Memos M-25-21 / M-25-22 (3 abr 2025) | El marco federal actual prioriza sistemas de IA construidos en EE. UU., transparentes y fiables con rendimiento documentado. Auricus Voice aporta ficha técnica pública, métricas Prometheus exportables, paneles WER por idioma y superficie de integración documentada — la evidencia que necesitan contratantes y Chief AI Officers bajo M-25-22. |
| FedRAMP | Auricus Voice es una appliance on-prem, no SaaS — la autorización FedRAMP no aplica directamente. Para clientes federales dentro de un perímetro autorizado, el appliance hereda la autorización del perímetro; aportamos la documentación de seguridad para el paquete SSP del cliente. |
| Section 889 (FY2019 NDAA, 41 U.S.C. § 3901 note) y gestión de riesgo de cadena de suministro | La lista de materiales está documentada y evaluable; contáctenos para el SBOM vigente y el origen de componentes. |
Auricus Voice es adecuado para despliegues en EE. UU. en:
Sanidad, servicios financieros, sector público, fuerzas del orden, defensa y cualquier despliegue — a ambos lados del Atlántico — donde el procesamiento transfronterizo, de terceros o no determinista de datos de voz sea inaceptable.
La postura de cumplimiento se alinea con Regulation (EU) 2016/679 (GDPR), OJ L 119, 4.5.2016, p. 1–88, y Regulation (EU) 2024/1689 (AI Act), OJ L 13, 2.2.2024, p. 1–177, como línea base en vigor. La ingeniería y la documentación también siguen el paquete de simplificación propuesto COM(2025) 837 final (Digital Omnibus, 19 nov 2025) y COM(2025) 836 final (Digital Omnibus on AI, 19 nov 2025) — en trilogo (mandato del Consejo 13 mar 2026; mandato del Parlamento 26 mar 2026); adopción final prevista a lo largo de 2026. Las obligaciones de alto riesgo del Capítulo III, Secciones 1–3 (Artículos 9–17, Artículo 26) del AI Act son exigibles el 2 de agosto de 2026.
La postura en Estados Unidos hace referencia a las fuentes legales siguientes (denominaciones y referencias citadas en el original en inglés por exactitud): Health Insurance Portability and Accountability Act, 42 U.S.C. § 1320d et seq. and 45 CFR Parts 160 and 164; the Gramm–Leach–Bliley Act and FTC Safeguards Rule, 16 CFR Part 314; the PCI Data Security Standard v4.0.1 (in force since 31 March 2025); the FBI CJIS Security Policy (current edition); the TCPA, 47 U.S.C. § 227; the California Consumer Privacy Act / Privacy Rights Act, Cal. Civ. Code § 1798.100 et seq.; the Illinois Biometric Information Privacy Act, 740 ILCS 14/, as amended by P.A. 103-0769 (Aug 2024); the Colorado AI Act, SB 24-205 (effective 1 Feb 2026); the Tennessee ELVIS Act, Tenn. Code Ann. § 47-25-1101 et seq. (effective 1 Jul 2024); NIST CSF 2.0 (Feb 2024); NIST AI RMF 1.0 (Jan 2023) plus Generative AI Profile NIST AI 600-1 (Jul 2024); NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 3 + DFARS 252.204-7012/7021 + CMMC 2.0 (32 CFR Part 170, final rule Oct 2024); Executive Order 14179 (23 Jan 2025); and OMB Memos M-25-21 and M-25-22 (3 Apr 2025).
Auricus Voice aporta primitivas de evidencia del lado del proveedor cuando el caso de uso del desplegador está regulado; el cumplimiento sigue siendo responsabilidad del desplegador según su caso, jurisdicción y obligaciones contractuales. Los mapeos se revalidarán a medida que evolucione el panorama regulatorio a ambos lados del Atlántico.