Esta tabla de auditoría mapea los controles de seguridad CI/CD con los requisitos de la Directiva NIS2 y los controles de PCI DSS. Apoya la gestión de riesgos, la seguridad de la cadena de suministro y la preparación para auditorías en sistemas críticos y relacionados con pagos.
🔐 Gestión de Identidad y Acceso (IAM)
Control
NIS2
PCI DSS
Sí
No
Mínimo privilegio aplicado a cuentas de servicio CI/CD
Art. 21(2)(b)
Req. 7.2
⬜
⬜
Separación entre identidades humanas y del pipeline
Art. 21(2)(d)
Req. 7.1
⬜
⬜
RBAC aplicado a los sistemas CI/CD
Art. 21(2)(b)
Req. 7.2
⬜
⬜
MFA aplicado a los administradores de CI/CD
Art. 21(2)(a)
Req. 8.4
⬜
⬜
Las acciones privilegiadas requieren aprobación
Art. 21(2)(d)
Req. 6.4
⬜
⬜
🔑 Gestión de Secretos y Credenciales
Control
NIS2
PCI DSS
Sí
No
Secretos no almacenados en el código fuente
Art. 21(2)(a)
Req. 3.4
⬜
⬜
Inyección de secretos en tiempo de ejecución
Art. 21(2)(a)
Req. 3.6
⬜
⬜
Credenciales con ámbito por entorno
Art. 21(2)(b)
Req. 7.2
⬜
⬜
Rotación periódica de secretos
Art. 21(2)(c)
Req. 3.6.4
⬜
⬜
Secretos excluidos de los registros
Art. 21(2)(a)
Req. 10.5
⬜
⬜
📦 Cadena de Suministro de Software e Integridad de Artefactos
Control
NIS2
PCI DSS
Sí
No
Entornos de compilación CI/CD reforzados
Art. 21(2)(e)
Req. 6.2
⬜
⬜
Firma de artefactos aplicada
Art. 21(2)(e)
Req. 6.3
⬜
⬜
Procedencia y trazabilidad de artefactos
Art. 21(2)(e)
Req. 6.4
⬜
⬜
Los repositorios de artefactos son inmutables
Art. 21(2)(a)
Req. 6.4
⬜
⬜
Solo se promueven artefactos de confianza
Art. 21(2)(d)
Req. 6.4
⬜
⬜
🔗 Integraciones de Terceros y CI/CD
Control
NIS2
PCI DSS
Sí
No
Herramientas CI/CD de terceros aprobadas formalmente
Art. 21(2)(e)
Req. 12.8
⬜
⬜
Acciones de terceros fijadas a versiones
Art. 21(2)(e)
Req. 6.3
⬜
⬜
Integridad de los componentes CI/CD externos verificada
Art. 21(2)(e)
Req. 6.2
⬜
⬜
Plugins de la comunidad restringidos
Art. 21(2)(b)
Req. 6.2
⬜
⬜
Actividad de las integraciones monitorizada
Art. 21(2)(c)
Req. 10.4
⬜
⬜
📊 Registro, Monitoreo y Preparación para Incidentes
Control
NIS2
PCI DSS
Sí
No
Actividad del pipeline CI/CD completamente registrada
Art. 21(2)(c)
Req. 10.2
⬜
⬜
Los registros incluyen aprobaciones y eventos de seguridad
Art. 21(2)(c)
Req. 10.3
⬜
⬜
Registro centralizado habilitado
Art. 21(2)(c)
Req. 10.5
⬜
⬜
Retención de registros alineada con la política
Art. 21(2)(c)
Req. 10.7
⬜
⬜
Los registros CI/CD apoyan la investigación de incidentes
Art. 23
Req. 12.10
⬜
⬜
🛡️ Gobernanza, Riesgos y Gestión de Cambios
Control
NIS2
PCI DSS
Sí
No
CI/CD incluido en la gestión de riesgos de ciberseguridad
Art. 21
Req. 12.2
⬜
⬜
Segregación de funciones aplicada
Art. 21(2)(d)
Req. 7.1
⬜
⬜
Aprobaciones de cambios aplicadas a través de pipelines
Art. 21(2)(d)
Req. 6.4
⬜
⬜
Excepciones aprobadas y documentadas formalmente
Art. 21(2)(b)
Req. 12.3
⬜
⬜
Postura de seguridad CI/CD revisada periódicamente
Art. 21(2)(f)
Req. 12.11
⬜
⬜
Cómo Utilizar Esta Tabla de Auditoría NIS2 / PCI DSS
Usar para evaluaciones de riesgos de ciberseguridad NIS2
Apoyar auditorías de los Requisitos 6 y 10 de PCI DSS
Demostrar la inclusión de CI/CD en la gobernanza de seguridad organizacional
Adjuntar referencias de evidencia en la columna de Notas
Reevaluar después de cambios en el pipeline o las herramientas
