Esta tabla de auditoría orientada al cumplimiento normativo mapea los controles de seguridad CI/CD con marcos regulatorios y de aseguramiento comunes. Está diseñada para apoyar auditorías internas, evaluaciones externas y la preparación regulatoria en entornos empresariales.
🔐 Gestión de Identidad y Acceso (IAM)
Control
ISO 27001
SOC 2
DORA
Sí
No
Mínimo privilegio aplicado a cuentas de servicio CI/CD
A.8.2 / A.5.15
CC6.1
Gestión de Riesgos ICT
⬜
⬜
Segregación entre identidades humanas y del pipeline
A.6.3
CC6.3
Gobernanza
⬜
⬜
Acceso basado en roles para la configuración del pipeline
A.5.18
CC6.2
Control de Acceso
⬜
⬜
MFA aplicado a los administradores de CI/CD
A.5.17
CC6.1
Seguridad ICT
⬜
⬜
Aprobación requerida para acciones privilegiadas del pipeline
A.5.19
CC7.2
Gestión de Cambios
⬜
⬜
🔑 Gestión de Secretos
Control
ISO 27001
SOC 2
DORA
Sí
No
Secretos no almacenados en el control de código fuente
A.8.12
CC6.1
Seguridad ICT
⬜
⬜
Inyección de secretos en tiempo de ejecución
A.8.24
CC6.7
Gestión de Riesgos ICT
⬜
⬜
Secretos con ámbito por entorno
A.5.15
CC6.2
Gobernanza
⬜
⬜
Rotación periódica de secretos
A.8.15
CC6.1
Seguridad ICT
⬜
⬜
Valores de secretos excluidos de los registros
A.8.16
CC7.2
Monitoreo
⬜
⬜
📦 Integridad de Artefactos y Cadena de Suministro de Software
Control
ISO 27001
SOC 2
DORA
Sí
No
Entornos de compilación CI/CD reforzados
A.8.20
CC6.6
Resiliencia ICT
⬜
⬜
Firma de artefactos aplicada
A.8.23
CC7.3
Cadena de Suministro
⬜
⬜
Procedencia que vincula código, pipeline y artefacto
A.8.9
CC7.2
Trazabilidad
⬜
⬜
Los repositorios de artefactos aplican inmutabilidad
A.8.10
CC6.5
Seguridad ICT
⬜
⬜
Promoción limitada a artefactos de confianza
A.8.21
CC6.6
Gestión de Cambios
⬜
⬜
🔗 Integraciones de Terceros y CI/CD
Control
ISO 27001
SOC 2
DORA
Sí
No
Plugins CI/CD de terceros aprobados formalmente
A.5.22
CC6.3
Riesgo de Terceros
⬜
⬜
Integraciones fijadas a versiones específicas
A.8.8
CC7.3
Cadena de Suministro
⬜
⬜
Verificación de integridad de acciones externas
A.8.23
CC7.3
Seguridad ICT
⬜
⬜
Restricción de plugins mantenidos por la comunidad
A.5.23
CC6.6
Gestión de Riesgos
⬜
⬜
Monitoreo del uso de integraciones
A.8.16
CC7.2
Monitoreo
⬜
⬜
📊 Registro, Monitoreo y Evidencias de Auditoría
Control
ISO 27001
SOC 2
DORA
Sí
No
Actividad del pipeline CI/CD completamente registrada
A.8.15
CC7.2
Monitoreo
⬜
⬜
Los registros incluyen aprobaciones y comprobaciones de seguridad
A.8.14
CC7.3
Gobernanza
⬜
⬜
Recopilación centralizada de registros
A.8.16
CC7.2
Gestión de Riesgos ICT
⬜
⬜
Retención de registros alineada con la política
A.5.34
CC7.4
Mantenimiento de Registros
⬜
⬜
La evidencia apoya auditorías e investigaciones
A.5.31
CC2.2
Cumplimiento
⬜
⬜
🛡️ Gestión de Cambios y Gobernanza
Control
ISO 27001
SOC 2
DORA
Sí
No
Cambios revisados y aprobados a través del pipeline
A.8.32
CC8.1
Gestión de Cambios
⬜
⬜
Separación entre roles de compilación e implementación
A.6.3
CC6.3
Gobernanza
⬜
⬜
Aplicación de políticas a través de puertas automatizadas
A.5.19
CC7.2
Seguridad ICT
⬜
⬜
Excepciones aprobadas y registradas formalmente
A.5.31
CC2.3
Cumplimiento
⬜
⬜
Gobernanza CI/CD revisada periódicamente
A.5.36
CC1.2
Supervisión
⬜
⬜
Cómo Utilizar Esta Tabla de Auditoría de Cumplimiento
Usar durante auditorías internas de ISO 27001
Adjuntar a evaluaciones de preparación para SOC 2
Apoyar la evidencia de gestión de riesgos ICT de DORA
Hacer seguimiento de las acciones de remediación en la columna Notas
Revisar periódicamente a medida que los pipelines CI/CD evolucionan
