OpenAI
Esta página se tradujo automáticamente. Ver el artículo original en inglés.

Controles de administración, seguridad y cumplimiento normativo en aplicaciones (Enterprise, Edu y Business)

Descubre cómo tu organización puede gestionar el uso de aplicaciones con la configuración de administración, ayudar a garantizar flujos de datos seguros y cumplir requisitos de cumplimiento normativo.

Actualización: 8 days ago

Nota: desde el 29 de agosto de 2025, hemos cambiado el nombre de ChatGPT Team a ChatGPT Business. Para obtener más información y respuestas a preguntas relacionadas con el cambio de nombre, consulta nuestro artículo: Preguntas frecuentes sobre el cambio de nombre a ChatGPT Business

A partir del 17 de diciembre de 2025, cambiaremos el nombre de conectores a aplicaciones para ofrecer una experiencia más unificada. El término incluye ahora tanto las aplicaciones con interfaz de usuario interactiva como los conectores que te ayudan a buscar y consultar tu información en ChatGPT. No vamos a eliminar ninguna funcionalidad existente; los conectores habilitados anteriormente y el conocimiento de la empresa seguirán funcionando como hasta ahora.

Controles de administración

Comportamiento predeterminado por plan

ChatGPT Enterprise y Edu

Todas las aplicaciones están deshabilitadas de forma predeterminada. Los propietarios del área de trabajo pueden controlar qué aplicaciones se habilitan en Configuración del área de trabajo → Aplicaciones, así como asignar roles específicos de aplicaciones mediante RBAC (consulta más abajo).

ChatGPT Business

En ChatGPT Business, los administradores del área de trabajo pueden controlar qué aplicaciones están habilitadas para el área de trabajo y gestionar permisos de aplicaciones por rol.

RBAC (control de acceso basado en roles)

Las áreas de trabajo Enterprise y Edu pueden asignar aplicaciones a uno o varios roles personalizados. De forma predeterminada, los usuarios pueden acceder a las aplicaciones activadas y disponibles para su rol, pero los administradores pueden controlar qué roles tienen acceso. Si un usuario ve una aplicación marcada como Desactivada por el administrador, la aplicación no está disponible para él debido a la configuración del área de trabajo o del rol; un administrador del área de trabajo debe habilitar el acceso antes de que el usuario pueda conectarla.

Gestionar el acceso a aplicaciones

El acceso a aplicaciones controla quién puede usar una aplicación conectada en el área de trabajo. Los permisos de aplicaciones controlan cuándo ChatGPT pide confirmación antes de usar una aplicación.

Para gestionar quién puede usar una aplicación específica, ve a Configuración del área de trabajo > Aplicaciones, abre el menú de la aplicación y selecciona Acceso de usuarios. Desde ahí, elige qué roles pueden acceder a la aplicación y guarda los cambios. Si cancelas o cierras sin guardar, la configuración de acceso actual de la aplicación no cambia.

Para gestionar qué aplicaciones puede usar un rol:

  1. Ve a Configuración del área de trabajo > Permisos y roles.

  2. Selecciona Roles personalizados.

  3. Selecciona el rol que quieres editar.

  4. Desplázate hasta la sección Datos conectados.

  5. Activa Permitir que los miembros usen aplicaciones para permitir el uso de aplicaciones a ese rol.

  6. Usa Seleccionar para elegir aplicaciones específicas para ese rol.

Añadir nuevas aplicaciones

Al habilitar una nueva aplicación en el nivel del área de trabajo, se solicita a los administradores que asignen qué roles pueden acceder a ella. Si la aplicación admite controles de acciones, los administradores también pueden revisar las acciones de la aplicación antes de ponerla a disposición de los usuarios.

Las plantillas de aplicaciones siguen el mismo modelo de gobernanza de administración después de su publicación. Los administradores y propietarios del área de trabajo revisan el borrador de la aplicación generado a partir de la plantilla, lo publican cuando está listo y luego gestionan el acceso, los permisos por rol, los controles de acciones y los permisos de la aplicación desde Configuración del área de trabajo > Aplicaciones.

Cuando están disponibles, los permisos de la aplicación sustituyen al control anterior de confirmación de acciones. Si el menú Permisos de aplicaciones de toda el área de trabajo no muestra No preguntar nunca, elige otro valor predeterminado del área de trabajo o establece No preguntar nunca para una aplicación concreta desde la configuración de Permisos de aplicaciones de esa aplicación. Para obtener detalles de configuración, consulta Plantillas de aplicaciones de ChatGPT.

Controles de acciones de aplicaciones

RBAC controla quién puede usar una aplicación. En las aplicaciones que admiten Control de acciones, el Control de acciones determina qué puede hacer la aplicación. Los Permisos de aplicaciones determinan cuándo ChatGPT pide confirmación a los miembros antes de usar una aplicación.

Estos permisos de aplicaciones se aplican a las conversaciones de ChatGPT. Los agentes del área de trabajo usan controles por agente establecidos por el creador del agente para determinar qué acciones de aplicaciones están disponibles y cuándo se pide a los usuarios finales que las aprueben. Para obtener información sobre el comportamiento de los agentes, consulta: Agentes del área de trabajo de ChatGPT para Enterprise y Business.

En Control de acciones, los administradores pueden elegir cómo se gestionan las acciones actuales de la aplicación: permitir todas las acciones, permitir solo las acciones de lectura o seleccionar un conjunto personalizado de acciones. Si los administradores seleccionan Personalizado, también pueden elegir cómo se gestionan las acciones añadidas más adelante seleccionando Habilitar todas las acciones nuevas, Habilitar solo las nuevas acciones de lectura o Deshabilitar nuevas acciones.

Algunas aplicaciones no admiten el Control de acciones. En esas aplicaciones, los administradores pueden gestionar el acceso a la aplicación, pero no pueden elegir acciones individuales ni cómo se gestionan las acciones recién añadidas.

En las aplicaciones que admiten el Control de acciones, la aprobación de ámbitos del proveedor no hace que las nuevas acciones estén disponibles automáticamente en ChatGPT.

Para cambiar el permiso predeterminado de aplicación del área de trabajo:

  1. Abre Configuración del área de trabajo.

  2. Ve a Permisos y roles > Datos conectados.

  3. Busca Permisos de aplicaciones y selecciona el valor predeterminado del área de trabajo.

Para establecer un permiso diferente para una aplicación:

  1. Abre la página de administración Aplicaciones del área de trabajo.

  2. Abre el menú de una aplicación publicada y selecciona Permisos de aplicaciones.

  3. Elige Usar valor predeterminado del área de trabajo o selecciona un permiso diferente.

  4. Selecciona Guardar.

Las opciones pueden incluir Preguntar siempre, Cualquier cambio, Acciones importantes y No preguntar nunca, según el área de trabajo, la aplicación y el estado del despliegue. Acciones importantes pide confirmación antes de acciones de aplicaciones que podrían tener un efecto significativo fuera de ChatGPT, exponer información confidencial o ser difíciles de deshacer. Algunas acciones especialmente arriesgadas pueden bloquearse en lugar de presentarse para aprobación.

Aplicaciones personalizadas con MCP

Los administradores también pueden permitir que los roles accedan al modo de desarrollador, que permite crear y probar aplicaciones personalizadas con MCP. El acceso de un rol al modo de desarrollador no hace que las nuevas acciones de MCP estén disponibles automáticamente. Una vez publicada una aplicación MCP personalizada, la aplicación debe conectarse en el área de trabajo antes de que puedan actualizarse sus acciones. Un administrador que sea propietario de la aplicación o la gestione puede revisar sus acciones en Control de acciones y seleccionar Actualizar para revisar las acciones añadidas o modificadas desde el servidor MCP.

Controles granulares de Google Drive (sincronizado)

Nota: las acciones de Google Docs, Sheets y Slides ya están disponibles como acciones de Google Drive. Esto unifica todas las acciones en la aplicación Google Drive, lo que simplifica el uso de las aplicaciones de Google. Las aplicaciones independientes de Google Docs, Sheets y Slides ya no están disponibles en el directorio de aplicaciones de ChatGPT, y los usuarios deben conectarse a la aplicación Google Drive para acceder a Docs, Sheets y Slides.

En ChatGPT Enterprise/Edu, estas nuevas acciones unificadas de Google Drive están desactivadas de forma predeterminada hasta que un administrador del área de trabajo las habilite. En ChatGPT Business, están activadas de forma predeterminada. Tras habilitarlas, es posible que los administradores de Google Workspace tengan que volver a autorizar los ámbitos actualizados de Google Drive antes de que los usuarios puedan usar estas acciones o de que los nuevos usuarios puedan conectarse. Si recibes quejas de tus usuarios porque no pueden conectarse a Google Drive, revisa las autorizaciones de ámbitos de Google Workspace para Google Drive, Docs, Sheets y Slides, y confirma que todas las acciones de la aplicación tienen ámbitos autorizados, o desactiva las acciones que no quieras autorizar.

Ten en cuenta que la función de sincronización no se ve afectada por este cambio.

Restricción y configuración de archivos

Las áreas de trabajo Enterprise, Edu y Business pueden:

  • Limitar la aplicación con sincronización a unidades compartidas o carpetas específicas.

  • Excluir tipos de archivo específicos de la indexación.

  • Elegir entre una configuración rápida (cada usuario autentica su cuenta) o acceso controlado por el administrador (configuración centralizada para controles granulares)

Para obtener información adicional sobre cómo habilitar la aplicación Google Drive con sincronización, consulta nuestro artículo de ayuda: Aplicación Google Drive con sincronización: configuración de autoservicio

RBAC para Google Drive (sincronizado) en Enterprise y Edu

Una vez que habilites la aplicación Google Drive con sincronización, todos los usuarios que tenían acceso a la versión no sincronizada también obtendrán acceso a la versión sincronizada. Actualmente no es posible establecer permisos diferentes entre las versiones sincronizada y no sincronizada.

Si configuraste anteriormente una lista de permitidos para la aplicación Google Drive con sincronización antes de que se introdujera RBAC para aplicaciones, tu lista de permitidos se ha asignado a nuevos grupos y roles de RBAC llamados Usuarios del conector de Google Drive y Rol del conector de Google Drive.

  • Si tu área de trabajo tenía la aplicación Google Drive habilitada en el nivel del área de trabajo, ahora solo conservan el acceso los usuarios de la lista de permitidos de la aplicación con sincronización.

  • Los usuarios que no estaban en la lista de permitidos ya no tienen acceso a la aplicación Google Drive no sincronizada y deben volver a añadirse.

  • Los usuarios con acceso a la aplicación Google Drive con sincronización ahora también tienen acceso a la aplicación Google Drive estándar.

Todos los demás roles y permisos del área de trabajo permanecen sin cambios.

Permisos necesarios para Microsoft Outlook (calendario y correo electrónico), Teams y SharePoint

Para habilitar la integración entre ChatGPT y Microsoft Outlook, Teams y SharePoint, deben concederse permisos en Microsoft Entra ID (anteriormente Azure AD) para cada servicio. Revisa nuestras páginas del Centro de ayuda para ver los permisos necesarios:

Cada página de aplicación describe los ámbitos que requiere esa aplicación. Para ver una lista completa de ámbitos por aplicación, consulta el directorio de aplicaciones de ChatGPT.

Aplicaciones personalizadas

En las áreas de trabajo Business, Enterprise y Edu, solo los propietarios del área de trabajo y los usuarios con la configuración correspondiente activada (para Enterprise/Edu) pueden activar el modo de desarrollador para publicar y probar aplicaciones personalizadas. Los usuarios con el rol miembro no pueden añadir aplicaciones personalizadas por sí mismos.

Al igual que con otras aplicaciones, los usuarios finales deben autenticarse en cada aplicación antes del primer uso.

Para obtener una descripción general del modo de desarrollador, las aplicaciones personalizadas y los conectores MCP en ChatGPT, consulta nuestro artículo: Modo de desarrollador y aplicaciones personalizadas en ChatGPT

Para ver una guía técnica sobre cómo crear un conector MCP personalizado, consulta nuestra documentación: Crear MCP personalizados apps

Nota: ten en cuenta que OpenAI no verifica las aplicaciones personalizadas y que están destinadas únicamente al uso por parte de desarrolladores. Solo debes añadir aplicaciones personalizadas a tu área de trabajo si conoces la aplicación subyacente y confías en ella. Más información.

Las aplicaciones pueden permitir que los usuarios finales compartan datos, que podrían incluir información sanitaria protegida (PHI), con terceros. Debes asegurarte de que el uso que haces de las aplicaciones cumple tus obligaciones en virtud de HIPAA.


Seguridad y cumplimiento normativo

Seguridad

Protegemos tus datos con cifrado estándar del sector en tránsito y en reposo. Los tokens OAuth se almacenan mediante prácticas sólidas y auditadas de gestión de claves. Después de habilitar una aplicación, cada usuario autoriza su propia cuenta, y ChatGPT solo accede al contenido dentro de los permisos existentes de ese usuario, como los ámbitos de solo lectura.

OpenAI aplica pruebas, supervisión y técnicas de mitigación por capas de forma continua para reducir el riesgo de inyección de prompts. Para una mayor protección, las conversaciones que usan aplicaciones tienen un acceso de red restringido para mantener los datos entre OpenAI y las herramientas concretas que conectas. Los controles de acceso estrictos garantizan que ChatGPT solo vea aquello a lo que cada usuario tiene permiso para acceder, y todos los datos permanecen cifrados en tránsito y en reposo.

¿Usa OpenAI información de las aplicaciones para entrenar sus modelos?

En el caso de los clientes de ChatGPT Business, Enterprise y Edu, no usamos información a la que se accede desde aplicaciones para entrenar nuestros modelos. Consulta nuestra página de privacidad para empresas para obtener información sobre cómo usamos los datos empresariales.

Los datos de chat y de investigación avanzada se procesan de forma transitoria y no se indexan. Los datos de aplicaciones con sincronización se indexan para acelerar las respuestas, respetando tu configuración de entrenamiento.

Almacenamiento y residencia de datos

Todas las aplicaciones con sincronización son compatibles con las áreas de trabajo con residencia de datos en Estados Unidos, Europa (EEE + Suiza) y Japón. Las aplicaciones de Google Drive y GitHub con sincronización también son compatibles en todas las regiones de residencia de datos admitidas actualmente.

En el caso de las aplicaciones con sincronización que no sean compatibles con la residencia de datos en tu región, el índice de búsqueda sincronizado se almacena en los centros de datos de Azure de OpenAI en EE. UU.


Aplicaciones no sincronizadas: las aplicaciones son compatibles con la residencia de datos, pero es importante tener en cuenta que las aplicaciones conectadas son servicios de terceros, y los datos enviados a una aplicación conectada están sujetos a las políticas de residencia de datos propias de esa aplicación.

En otras palabras, si tu organización tiene residencia de datos en Europa, OpenAI limitará el almacenamiento del Contenido del cliente a Europa hasta el momento en que las consultas y los prompts se envíen a una aplicación conectada. Asegúrate de que tus aplicaciones conectadas también cumplan cualquier requisito de residencia de datos que tengas.

Cumplimiento normativo

Las conversaciones de los usuarios, incluidas las conversaciones que usan cualquier aplicación, ya están disponibles en la Compliance API.

Además, todas las llamadas a aplicaciones se registran como parte de la plataforma OpenAI Compliance Logs.

Leer más: Compliance API para clientes Enterprise.

Seguridad granular de Google Drive (sincronizado)

Además de la autenticación OAuth, los propietarios de áreas de trabajo Business, Enterprise y Edu pueden usar la delegación de todo el dominio (DWD).

¿Te ha resultado útil este artículo?