Оскільки штучний інтелект стає центральним для корпоративних послуг, індійські ІТ-компанії стикаються зі зростаючим тиском, щоб продемонструвати, що їхні системи ШІ є етичними, безпечними та добре керованими. Хоча законодавчих вимог щодо спеціальних сертифікатів ще немає, набір міжнародно визнаних стандартів з’являється як еталон для відповідальних операцій ШІ, які підлягають перевірці.
Нижче наведено ключові сертифікації та рамки, які провідні індійські ІТ-провайдери приймають або узгоджують з ними, щоб зміцнити довіру клієнтів і готовність до регулювання.
ISO/IEC 42001:2023 — Система управління штучним інтелектом (AIMS)
ISO/IEC 42001 — це перший у світі офіційний стандарт системи управління ШІ, опублікований Міжнародною організацією зі стандартизації (ISO) та Міжнародною електротехнічною комісією (IEC) у грудні 2023 року. Він визначає, як організації повинні створювати, впроваджувати, підтримувати та постійно вдосконалювати Систему управління ШІ (AIMS).
Структура охоплює управління, підзвітність, прозорість, пом’якшення упередженості та оцінку ризиків протягом життєвого циклу системи ШІ. Незважаючи на те, що ISO 42001 є добровільним, він швидко стає глобальним стандартом відповідального ШІ, подібно до того, як ISO 27001 зробив для інформаційної безпеки.
Індійські компанії, такі як Infosys, Mphasis і Datamatics, є одними з перших, які отримали сертифікати через Національну раду з акредитації органів сертифікації (NABCB), акредитовані органи, такі як TÜV SÜD.
ISO/IEC 27001 — Система управління інформаційною безпекою (ISMS)
ISO 27001 залишається основоположним для будь-якої організації, яка обробляє дані або хмарну інфраструктуру. Він забезпечує структурований підхід до управління ризиками інформаційної безпеки та забезпечення конфіденційності, цілісності та доступності даних. Для платформ ШІ, які значною мірою залежать від безпеки даних і контрольованих середовищ, сертифікація ISO 27001 широко розглядається як базова вимога в корпоративних контрактах.
ISO/IEC 27701 — Система керування конфіденційною інформацією (PIMS)
ISO 27701 розширює ISO 27001, щоб включити управління конфіденційністю та засоби контролю для ідентифікаційної інформації (PII). Оскільки багато моделей AI покладаються на конфіденційні набори даних, ця сертифікація допомагає постачальникам послуг узгодити міжнародні рамки захисту даних, такі як GDPR ЄС та Закон Індії про захист цифрових персональних даних. Це демонструє, що ризики конфіденційності в системах ШІ активно виявляються, документуються та пом’якшуються.
SOC 2 (AICPA)
У звіті Service Organization Control 2, розробленому Американським інститутом CPA (AICPA), перевіряється ефективність засобів контролю в п’яти категоріях «довірчих послуг»: безпека, доступність, цілісність обробки, конфіденційність і конфіденційність.
Багато індійських ІТ-фірм, які обслуговують клієнтів у Північній Америці, створюють звіти SOC 2 типу II, щоб підтвердити операційну надійність своїх AI та хмарних служб.
ISO 9001 — Система менеджменту якості (СУЯ)
ISO 9001 не стосується штучного інтелекту, але залишається актуальним, оскільки він підтверджує, що організація підтримує послідовні процеси якості, документацію та постійне вдосконалення.
Для постачальників послуг штучного інтелекту він забезпечує повторюваність процесів розробки, перевірки та випуску моделей, які є важливими для масштабування розгортання корпоративного штучного інтелекту.
Секторальні рамки: PCI DSS і HIPAA
Залежно від даних, які обробляються, можуть застосовуватися додаткові зобов’язання щодо відповідності:
PCI DSS (Стандарт безпеки даних індустрії платіжних карток):
Це всесвітньо визнана структура, розроблена та підтримується Радою стандартів безпеки індустрії платіжних карток (PCI SSC), незалежним органом, заснованим у 2006 році основними платіжними брендами, Visa, Mastercard, American Express, Discover та JCB International.
PCI DSS встановлює суворі технічні та операційні вимоги для забезпечення безпечної обробки даних власників карток і запобігання шахрайству, пов’язаному з платежами. Це стосується будь-якої організації, яка зберігає, обробляє або передає інформацію про кредитні картки, включаючи банки, платіжні процесори, платформи електронної комерції та постачальників ІТ-послуг, які підтримують платіжні системи.
Це стосується систем ШІ, які обробляють або аналізують дані платіжних карток, вимагаючи шифрування, контролю доступу та журналювання.
HIPAA (Закон про перенесення та підзвітність медичного страхування)
Це федеральний закон Сполучених Штатів, прийнятий у 1996 році для захисту конфіденційності та безпеки медичної інформації окремих осіб. Керований Департаментом охорони здоров’я та соціальних служб США (HHS), HIPAA встановлює національні стандарти захисту конфіденційних даних про здоров’я пацієнтів, які зберігаються постачальниками медичних послуг, страховими компаніями та їхніми діловими партнерами.
Це гарантує належний захист медичної інформації, одночасно дозволяючи потік даних про здоров’я, необхідних для надання високоякісної допомоги та ефективного управління послугами охорони здоров’я.
Індійські постачальники, які надають аналітику штучного інтелекту клієнтам із США, зазвичай демонструють готовність дотримуватись вимог HIPAA через договірні угоди про ділове партнерство (BAA) і гарантії, узгоджені з ISO 27001.
Акредитація та перевірка (NABCB та глобальні органи)
Надійність будь-якої сертифікації залежить від того, хто її видає. В Індії Національна рада з акредитації органів сертифікації (NABCB) при Раді з якості Індії акредитує сертифікаторів за такими стандартами, як ISO 42001 та ISO 27001.
Сертифікати, видані згідно з NABCB або еквівалентними міжнародними акредитаціями (такими як UKAS або ANAB), визнаються у всьому світі. Використання акредитованих сертифікаторів гарантує відповідність аудитів суворим національним і міжнародним стандартам нагляду.
CSA STAR for AI (Cloud Security Alliance STAR for AI)
Cloud Security Alliance (CSA) запустив структуру сертифікації STAR for AI у жовтні 2025 року, розширюючи свою встановлену програму хмарної безпеки STAR (Security, Trust, Assurance, and Risk), зокрема для систем штучного інтелекту.
Американська некомерційна організація CSA, заснована в 2008 році, має на меті просувати найкращі практики забезпечення безпеки в хмарних обчисленнях, штучному інтелекті та інших нових технологіях.
Фреймворк інтегрує стандарт ISO/IEC 42001 для систем управління штучним інтелектом і ґрунтується на цьому, щоб запропонувати багаторівневу гарантію.
Організації можуть брати участь на рівні 1 через опубліковану самооцінку або отримати сертифікацію рівня 2, продемонструвавши відповідність стандарту ISO 42001 і пройшовши процес прозорості та оцінки CSA.
STAR for AI призначений для перевірки та підвищення довіри та безпеки в розгортаннях AI, забезпечуючи глобальну галузеву сертифікацію, яка узгоджує управління AI з найкращими практиками хмарної безпеки. Зокрема, в Індії Zoho Corporation зареєстрована в реєстрі CSA STAR із сертифікатами, що стосуються хмарних інфраструктур безпеки.
Не обов'язковий
Індійські ІТ-компанії, що надають рішення штучного інтелекту, не зобов’язані юридично мати ці сертифікати, але разом вони утворюють довірчу інфраструктуру для глобального бізнесу. Підприємства, які поєднують ці інфраструктури, мають найкращі можливості для демонстрації відповідальних, прозорих і безпечних практик штучного інтелекту, наступної відмінності індійської технологічної галузі, орієнтованої на експорт.
Оскільки штучний інтелект швидко розвивається, уряди та органи стандартизації розробляють нові структури, що стосуються підзвітності алгоритмів, прозорості моделі та аудиту штучного інтелекту.
Джерела: ISO.org; TÜV SÜD; NABCB; BSI Group; Рада якості Індії; Міністерство торгівлі та промисловості; Рада стандартів безпеки PCI; AICPA.org; Департамент охорони здоров'я та соціальних служб США (HHS); Управління захисту даних Індії; KPMG AI Governance Insights 2024; Коротка інформація щодо відповідності AI 2024 від Deloitte; Gartner 2024; Cloud Security Alliance.
