Checklist de RFP para IA regulada
Compara proveedores por sistema de trabajo, gobierno, implementación y prueba.
Checklist de RFP
Comparar plataformas de IA regulada con evidencia y disciplina
Una RFP para IA legal no debe ser un inventario largo de funciones. Debe probar si un proveedor puede apoyar trabajo regulado real con gobernanza clara, seguridad, disciplina de implementación y valor medible.
1. Antes de emitir la RFP
- El comité comprador está nombrado.
- El responsable de decisión o desempate está nombrado.
- El primer flujo está definido.
- Las cinco capacidades obligatorias están claras.
- Seguridad y gobernanza de IA están separadas de funciones deseables.
- Precio e implementación se piden en formato comparable.
- El cronograma incluye seguridad, legal, finanzas y validación de flujo.
2. Define el contexto de negocio
Incluye tipo y tamaño de organización, equipos usuarios, sistemas actuales, flujos, categorías de datos, jurisdicciones, cronograma, integraciones y restricciones de compras, seguridad o compliance.
3. Diligencia previa del proveedor
- Estabilidad financiera e historial.
- Certificaciones o preparación formal, como SOC 2 e ISO 27001, incluida infraestructura y autenticación.
- Postura de privacidad y compliance (GDPR, LGPD, CCPA).
- SLAs y tiempos de respuesta.
- Historial de implementación y clientes de referencia.
4. Define el escenario del primer flujo
Nuestro equipo necesita revisar un contrato de proveedor contra un playbook aprobado, identificar desvíos legales y comerciales, enrutar temas a responsables, preservar contexto de fuente, preparar notas de aprobación y almacenar el registro final.
Pide mostrar entrada, fuentes, revisión o redacción asistida por IA, revisión humana, escalamiento, aprobación, firma o entrega, bóveda y auditoría.
5. Checklist de fit de plataforma
- Soporta asuntos, proyectos, solicitudes o workspaces.
- Soporta generación, revisión, comparación y resumen de documentos.
- Soporta investigación legal o análisis con evidencia cuando aplica.
- Soporta firma o ejecución documental.
- Soporta bóveda gobernada para plantillas, conocimiento, evidencias y registros.
- Soporta agentes o flujos repetibles asistidos por IA.
- Soporta colaboración, ownership, bloqueos, plazos y aprobaciones.
- Soporta gobernanza y auditoría alrededor de trabajo sensible.
- Soporta integraciones o APIs requeridas por el primer flujo.
6. Checklist de gobernanza de IA
- El proveedor explica qué puede y no puede hacer la IA.
- Identifica límites de datos, modelo, humano, evidencia, auditoría y política.
- Explica si datos de clientes se usan para entrenamiento y entrega evidencia.
- Distingue salidas basadas y no basadas en fuentes.
- Muestra citas, limitaciones o incertidumbre.
- Soporta revisión humana, aprobación, override, escalamiento o rechazo.
- Explica gobernanza de modelo/proveedor y cambios.
- Explica cómo se registran acciones de agentes o flujos.
7. Checklist de seguridad y privacidad
- Aislamiento de tenant explicado.
- Controles por rol explicados.
- SSO/SAML y MFA explicados.
- Acceso de soporte delimitado, aprobado, registrado y revocable.
- Retención, eliminación, exportación y backup explicados.
- Lista de subprocessadores y ruta de DPA disponibles.
- Paquete de seguridad o apoyo en cuestionario disponible.
- Respuesta a incidentes y vulnerabilidades documentadas.
- Cifrado en tránsito y reposo documentado.
- Declaraciones de seguridad fechadas, actuales y con evidencia.
8. Checklist de implementación
- Propone camino de 30 días.
- Identifica preparación de fuentes.
- Identifica roles, permisos y reglas de revisión.
- Identifica premisas de integración.
- Describe capacitación y adopción.
- Define éxito a 30, 60 y 90 días.
- Identifica qué escopar antes de expandir.
- Ofrece ruta clara para seguridad y compras.
9. Checklist económico
- Modelo de precio explicado.
- Usuarios, roles, workspaces, organizaciones o equipos considerados.
- Uso de IA y complejidad considerados.
- Volúmenes de documentos, asuntos, firmas y bóveda considerados.
- Integración e implementación consideradas.
- Modelo de soporte explicado.
- Renovación y expansión explicadas.
- Solapamiento con herramientas actuales considerado.
- Valor ligado a un flujo real.
10. Checklist de prueba y evidencia
- Afirmaciones públicas fechadas y rastreables.
- Prueba de clientes aprobada y específica.
- Afirmaciones de producto disponibles o escopadas.
- Afirmaciones de confianza con responsables y evidencia.
- Seguridad o compliance no exceden la evidencia.
- Limitaciones conocidas explicadas.
11. Scorecard ponderado sugerido
| Criterio | Peso | Proveedor A | Proveedor B | Proveedor C |
|---|---|---|---|---|
| Fit del primer flujo | 20% | |||
| Gobernanza y confianza de IA | 20% | |||
| Seguridad y privacidad | 15% | |||
| Preparación de implementación | 15% | |||
| Adopción y usabilidad diaria | 10% | |||
| Claridad económica | 10% | |||
| Evidencia y prueba | 10% | |||
| Total ponderado | 100% |
12. Preguntas para proveedores
- ¿Qué flujo recomiendas para el primer rollout y por qué?
- ¿Qué datos, políticas, plantillas o documentos necesitas?
- ¿Cómo separas tenants, roles, workspaces, asuntos y registros?
- ¿Qué proveedores o modelos de IA se usan y cómo se gobiernan?
- ¿Qué evidencia sostiene entrenamiento, retención y uso de datos?
- ¿Dónde ocurre la revisión humana?
- ¿Qué contexto de auditoría se preserva?
- ¿Cómo apoyas cuestionarios de seguridad y compras?
- ¿Qué integraciones existen y cuáles requieren escopo?
- ¿Qué impulsa costo y expansión?
- ¿Qué haría exitoso el primer rollout tras 30 días?
13. Señales de alerta
Escala si un proveedor muestra solo una demo de prompt, no explica datos de prompts/salidas/logs/embeddings, usa lenguaje de confianza sin evidencia, trata revisión humana como marketing, no identifica requisitos, oculta precios, no asigna dueño a seguridad o DPA, o hace afirmaciones más fuertes que la evidencia.
14. Registro final de decisión
Antes de firmar, registra proveedores evaluados, escenario del primer flujo, resultados, evidencias recibidas, ítems contractuales, escopo de implementación, métricas, responsable y fecha de renovación.
El proceso de RFP debe dejar una decisión defendible, no solo un proveedor preferido.
Revisado en mayo de 2026