Saltar a contenido

🔐 Reglas de Acceso, Lectura y Escritura del Storage (GCS)

Sistema de Decisión Asistida (SDA) — BKM

1. Propósito de este documento

Este documento define las reglas explícitas de acceso, lectura y escritura sobre el Storage (Google Cloud Storage) dentro del Sistema de Decisión Asistida (SDA) de BKM.

Su objetivo es garantizar que:

  • el sistema sea seguro, trazable y auditable,
  • la IA opere con límites claros y no ambiguos,
  • las personas mantengan siempre el control decisorio,
  • y el Storage no derive en usos impropios o riesgosos.

Este documento forma parte del gobierno del sistema y es de cumplimiento obligatorio.

2. Principios rectores de acceso

  1. Separación de responsabilidades
    Nadie escribe donde no debe, aunque técnicamente pueda.

  2. Lectura más amplia que escritura
    Leer implica menos riesgo que escribir.

  3. La IA nunca gobierna
    La IA no define reglas, no cambia estados normativos y no toma decisiones finales.

  4. Trazabilidad antes que conveniencia
    Ningún acceso justifica perder histórico o claridad.

  5. Acceso mínimo necesario (least privilege)
    Cada rol accede solo a lo imprescindible para su función.

3. Roles reconocidos por el sistema

A nivel lógico (no técnico), el SDA reconoce los siguientes roles:

  • Dirección
  • Responsables de decisión
  • Personas operativas autorizadas
  • Agentes de IA
  • Procesos automatizados
  • Auditoría / revisión

Las reglas definidas a continuación aplican a todos ellos.

4. Reglas por zona del Storage

4.1 00_governance/ — Gobierno del sistema

Lectura permitida - Dirección - Responsables del sistema - Auditoría

Escritura permitida - ✔️ Personas humanas autorizadas - ❌ IA - ❌ Procesos automáticos

Reglas clave - Nunca se modifica automáticamente. - Cualquier cambio implica revisión humana explícita. - La IA no accede aquí por defecto.

4.2 01_inputs/ — Inputs humanos

Lectura permitida - Agentes de IA - Responsables de decisión - Personas operativas autorizadas

Escritura permitida - ✔️ Personas humanas autorizadas - ❌ IA - ❌ Automatismos no supervisados

Reglas clave - Los inputs no son outputs. - No se sobrescriben inputs históricos. - Todo input debe ser trazable a una persona o área.

4.3 02_outputs/ — Outputs generados por IA

Lectura permitida - Dirección - Responsables de decisión - Personas autorizadas - IA (lectura de outputs previos)

Escritura permitida - ✔️ Agentes de IA - ✔️ Procesos automatizados supervisados - ❌ Escritura humana directa (salvo correcciones excepcionales documentadas)

Reglas clave - Prohibido sobrescribir outputs. - Todo output debe estar fechado y versionado. - latest.md es solo una referencia, nunca sustituye al histórico.

4.4 03_decisions/ — Memoria por decisión

Lectura permitida - Dirección - Responsable de la decisión - IA asociada explícitamente a esa decisión

Escritura permitida - Inputs → personas autorizadas - Outputs → IA - Estado (estado.md) → solo humano responsable

Reglas clave - La IA nunca cambia el estado de una decisión. - Toda decisión tiene responsable humano explícito. - El histórico de una decisión no se borra.

4.5 04_evidence/ — Evidencias

Lectura permitida - Dirección - Responsables de decisión - IA (solo lectura contextual)

Escritura permitida - ✔️ Personas autorizadas - ✔️ Procesos documentados - ❌ IA generativa directa

Reglas clave - Las evidencias informan, no deciden. - No se reinterpretan automáticamente sin contexto humano. - Se preserva el formato original siempre que sea posible.

4.6 99_archive/ — Archivo histórico

Lectura permitida - Dirección - Auditoría - IA solo bajo petición explícita

Escritura permitida - ✔️ Personas autorizadas (movimiento desde otras zonas)

Reglas clave - Nada se borra. - El archivo no participa en flujos activos. - Es memoria, no input.

5. Reglas específicas para Agentes de IA

Los agentes de IA:

  • ❌ No escriben en 00_governance/
  • ❌ No escriben en 01_inputs/
  • ❌ No modifican estados de decisión
  • ❌ No sobrescriben históricos
  • ✔️ Escriben exclusivamente en 02_outputs/
  • ✔️ Leen inputs, evidencias y outputs previos según las reglas definidas

Regla crítica

La IA propone, analiza y documenta.
La persona decide y valida.

6. Reglas específicas para personas

Las personas:

  • definen inputs,
  • validan outputs,
  • cambian estados de decisiones,
  • mantienen el gobierno del sistema.

Responsabilidad clave

Toda acción humana relevante debe ser trazable: - quién, - cuándo, - y por qué.

7. Accesos por defecto y accesos excepcionales

Acceso por defecto

  • La IA no lee 99_archive/.
  • La IA no lee 00_governance/.
  • Las personas no editan outputs.

Acceso excepcional

Cualquier excepción debe:

  • estar documentada,
  • tener responsable asignado,
  • ser temporal,
  • y quedar registrada.

8. Auditoría y revisión

El sistema debe permitir revisar, a posteriori:

  • qué información se usó para una decisión,
  • qué outputs se generaron,
  • quién validó o rechazó,
  • y en qué contexto histórico.

El Storage es el soporte principal de esta auditoría.

9. Errores graves que invalidan el sistema

  • La IA modificando reglas o estados.
  • Outputs sobrescritos.
  • Inputs sin responsable humano.
  • Evidencias mezcladas con outputs.
  • Histórico borrado o alterado.

Cualquiera de estos errores requiere revisión inmediata del sistema.

10. Idea clave final

El control del sistema no está en la IA
ni en la herramienta,
sino en las reglas de acceso bien definidas.

Estas reglas existen para que el SDA de BKM pueda escalar sin perder control, criterio ni responsabilidad.

✅ Estado del documento

Con este documento quedan cerradas y explícitas:

  • las reglas de lectura,
  • las reglas de escritura,
  • los límites operativos de la IA,
  • y la responsabilidad humana final.