Fundamentos de Gobernanza y Cumplimiento
8 recorridos para empezar con Gobernanza y Cumplimiento: 5 básicos y 3 intermedios.
Prerrequisitos
- Acceso de administrador o propietario del espacio de trabajo a la Consola de Claude para tu organización.
- Un inventario aproximado de qué tipos de datos ya pega tu equipo en Claude (registros de clientes, código fuente, finanzas internas, etc.).
- Familiaridad con las propias obligaciones de cumplimiento de tu organización: qué regulaciones se aplican (SOC2, GDPR, HIPAA o ninguna de estas) moldea cuán estrictas deben ser estas configuraciones.
Ejemplos Básicos
1. Localizar la Configuración de Retención de Datos
Encuentra la configuración a nivel de espacio de trabajo que controla cuánto tiempo se almacenan los datos de las conversaciones.
En la Consola de Claude, esto se encuentra en la configuración del espacio de trabajo u organización, típicamente junto a los controles de privacidad y datos.
- La ventana de retención se aplica a todo el espacio de trabajo, no a conversaciones individuales.
- Confirma el valor actual antes de asumir que coincide con las necesidades de tu organización; no asumas que el valor predeterminado ya es conservador.
- Anota la configuración actual en algún lugar donde tu equipo de cumplimiento pueda consultarla más tarde.
Relacionado: Cómo Claude Maneja la Retención de Datos y la Exclusión de Entrenamiento - el modelo mental detrás de esta configuración
2. Habilitar la Exclusión de Entrenamiento para el Espacio de Trabajo
Activa la configuración que excluye las conversaciones de tu organización de ser utilizadas para entrenar futuros modelos de Claude.
- Este es un interruptor separado de la retención; configurar uno no configura automáticamente el otro.
- Una vez habilitado, se aplica a las conversaciones futuras dentro de ese espacio de trabajo.
- Los equipos que manejan datos regulados o propietarios deben tratar esto como una configuración base para revisar desde el primer día, no como una ocurrencia tardía.
Relacionado: Cómo Claude Maneja la Retención de Datos y la Exclusión de Entrenamiento - explica por qué son dos configuraciones separadas
3. Comprobar Qué Registran los Registros de Auditoría
Abre la vista de registros de auditoría en la Consola de Claude y revisa una muestra de entradas recientes.
- Los registros de auditoría capturan acciones de administrador y eventos de acceso: quién hizo qué y cuándo.
- Busca entradas relacionadas con cambios de configuración, adiciones de usuarios y cambios de permisos como primera pasada.
- Si el registro está vacío o es escaso, eso en sí mismo vale la pena notarlo; puede significar que el registro no ha sido revisado desde la configuración.
Relacionado: Qué Capturan los Registros de Auditoría en la Consola de Claude - un desglose completo de lo que aparece aquí
4. Identificar los Estándares de Cumplimiento Aplicables a tu Organización
Antes de configurar cualquier otra cosa, determina qué marcos de cumplimiento se aplican realmente a tu organización: ¿SOC2, GDPR, ambos, o ninguno en un sentido formal?
- SOC2 se trata de controles de seguridad y confianza operativa; GDPR se trata de derechos de datos personales y procesamiento.
- No todas las organizaciones necesitan tratar cada configuración como si se aplicara la regulación más estricta.
- Documenta esta decisión para que los futuros cambios de configuración tengan una razón declarada detrás de ellos.
Relacionado: Comprender la Postura de Cumplimiento de SOC2 y GDPR de Claude - lo que estos estándares realmente requieren
5. Redactar una Nota de Una Página "Qué No Pegar" para tu Equipo
Escribe una nota corta y en lenguaje claro que indique a los empleados qué categorías de datos tienen prohibido pegar en Claude: PII de clientes, credenciales, finanzas no publicadas y similares.
- Mantenla en una página; las políticas largas se escanean o se ignoran.
- Enmárcala en torno a categorías de datos, no una lista exhaustiva de términos prohibidos, ya que necesita generalizar.
- Distribúyela durante la incorporación, no enterrada en una wiki de configuración que nadie visita.
Relacionado: Redacción de Guías de Manejo de PII para Equipos que Pegan Datos Sensibles - una guía procesal completa para esto
Ejemplos Intermedios
6. Revisar la Configuración de Retención y Entrenamiento Frente a un Proyecto Regulado Específico
Toma un proyecto activo que involucre datos regulados o sensibles y revisa si la ventana de retención actual y la exclusión de entrenamiento realmente se ajustan a los requisitos de ese proyecto.
- Compara la sensibilidad de los datos del proyecto con la configuración actual del espacio de trabajo, no al revés.
- Si el proyecto necesita una configuración más estricta que la que usa el resto del espacio de trabajo, decide si ajustar a nivel de todo el espacio de trabajo o manejar el proyecto por separado.
- Registra la decisión y el razonamiento, ya que esto se convierte en evidencia útil durante una revisión de cumplimiento.
Relacionado: Controles de Manejo de Datos que Todo Administrador Debería Configurar - la lista de verificación más completa de la que se extrae este recorrido
7. Ejecutar una Revisión Trimestral de Registros de Auditoría
Establece un recordatorio recurrente en el calendario para revisar el registro de auditoría en busca de actividad inusual del administrador: cambios de configuración inesperados, eventos de acceso desconocidos o escaladas de permisos.
- Trata esto como un proceso permanente, no como una verificación única durante la configuración.
- Compara con una lista corta de "quién debería estar haciendo qué" para que las anomalías sean fáciles de detectar.
- Escala cualquier cosa que no coincida con un cambio esperado a quien sea responsable de la seguridad en tu organización.
Relacionado: Qué Capturan los Registros de Auditoría en la Consola de Claude - qué esperar en cada entrada
8. Crear una Lista de Verificación de Cumplimiento Pre-Implementación Antes de Expandirse a un Nuevo Equipo
Antes de agregar un nuevo departamento o unidad de negocio a tu espacio de trabajo de Claude, revisa la retención, la exclusión de entrenamiento, el registro de auditoría y la postura de DLP como una única revisión previa al lanzamiento.
- Trata la expansión a un nuevo equipo de la misma manera que tratarías la incorporación de un nuevo proveedor: como un desencadenante para volver a verificar la configuración.
- Utiliza una lista de verificación escrita en lugar de depender de la memoria, ya que los equipos se incorporan con poca frecuencia, lo que hace que los pasos se olviden.
- Vuelve a visitar la lista de verificación después del lanzamiento para confirmar que la configuración se mantuvo según lo esperado.
Relacionado: Lista de Verificación de Cumplimiento Antes de Implementar Claude en Toda la Empresa - la lista de verificación completa previa al lanzamiento que este recorrido previsualiza
Versiones de la pila: Escrito contra la línea de modelos de Claude actual a partir de ~junio de 2026: Claude Fable 5, Claude Opus 4.8, Claude Sonnet 5 (el predeterminado) y Claude Haiku 4.5. Los nombres de los modelos, los precios y las características del producto cambian rápidamente; verifica los detalles actuales en platform.claude.com/docs antes de confiar en ellos.