Propósito de Esta Evaluación de Preparación Esta lista de verificación de autoevaluación está diseñada para organizaciones que se preparan para un examen SOC 2 Type II que incluye pipelines de CI/CD dentro del alcance de la auditoría. Úsela para identificar brechas de controles, priorizar los esfuerzos de remediación y generar confianza en que su entorno … Leer más
Análisis completo del control A.14 de ISO 27001 aplicado a pipelines CI/CD, con orientación detallada sobre evidencia requerida, implementación y señales de alerta durante la auditoría.
SOC 2 Type II evalúa si los controles operaron eficazmente durante un período definido. Esta guía explica los requisitos de evidencia sostenida específicos para entornos CI/CD.
El Artículo 21(2)(d) de NIS2 exige la seguridad de la cadena de suministro. Esta guía explica cómo auditar componentes de terceros en pipelines CI/CD, incluyendo SCA, SBOM y evaluación de proveedores.
El Artículo 23 de NIS2 impone obligaciones estrictas de notificación de incidentes. Esta guía explica cómo los registros de pipelines CI/CD sirven como evidencia crítica para cumplir los plazos de reporte regulatorio.
Lista de verificación formal de auditoría para la gestión de riesgos ICT de terceros bajo el Artículo 28 de DORA. Sirve a dos audiencias simultáneamente: auditores que verifican controles y evidencia, e ingenieros que implementan los requisitos. Cubre las 10 áreas del Artículo 28 con brechas comunes en cada sección.
Lista de verificación formal de auditoría para la gobernanza de proveedores y los controles CI/CD en entornos regulados. Cubre inventario, clasificación de riesgo, contratos, aplicación técnica, retención de evidencia y pruebas de estrategia de salida — diseñada para uso directo por auditores.
Lista de verificación de las señales de alerta CI/CD más comunes bajo DORA Artículo 28: sin plan de salida, runners compartidos, sin visibilidad de subprocesadores, sin derechos de auditoría y sin retención de evidencias. Para auditores y equipos DevSecOps.
DORA Artículo 28 exige que las entidades financieras demuestren un control efectivo sobre los riesgos de terceros ICT. Este artículo proporciona un paquete de evidencias práctico que cubre los cinco dominios clave de evidencia, con perspectivas tanto del auditor como del ingeniero.
Informe ejecutivo conciso sobre cómo los pipelines CI/CD se gobiernan, protegen y auditan en entornos regulados bajo marcos como DORA, ISO 27001, NIS2 y PCI DSS.
