Esta lista de verificación está diseñada para evaluar el cumplimiento de los requisitos del Artículo 21 de DORA a través de controles de pipeline CI/CD y procesos ICT de soporte. Es compatible con auditorías internas, revisiones supervisoras y evaluaciones regulatorias.
Artículo 21(1) — Marco de Gestión de Riesgos ICT
Verificación de Control
Sí
No
Los pipelines CI/CD están incluidos en el alcance de gestión de riesgos ICT
⬜
⬜
Los riesgos ICT relacionados con la entrega de software están formalmente identificados
⬜
⬜
Los controles preventivos se aplican a través de los pipelines CI/CD
⬜
⬜
Existen mecanismos de detección para incidentes relacionados con el pipeline
⬜
⬜
CI/CD apoya los procesos de respuesta y recuperación
⬜
⬜
Artículo 21(2)(a) — Control de Acceso
Verificación de Control
Sí
No
El acceso CI/CD sigue el principio de mínimos privilegios
⬜
⬜
Las identidades del pipeline están separadas de los usuarios humanos
⬜
⬜
RBAC se aplica para la configuración del pipeline
⬜
⬜
Se requiere MFA para los administradores CI/CD
⬜
⬜
Las acciones privilegiadas están restringidas y monitorizadas
⬜
⬜
Artículo 21(2)(b) — Segregación de Funciones
Verificación de Control
Sí
No
Los desarrolladores no pueden auto-aprobar cambios en producción
⬜
⬜
La revisión de código es obligatoria antes de la ejecución del pipeline
⬜
⬜
Los permisos de compilación y despliegue están separados
⬜
⬜
Las anulaciones y excepciones quedan registradas
⬜
⬜
La segregación de funciones se revisa periódicamente
⬜
⬜
Artículo 21(2)(c) — Registro y Monitorización
Verificación de Control
Sí
No
Todas las ejecuciones CI/CD quedan registradas
⬜
⬜
Los registros incluyen aprobaciones y verificaciones de seguridad
⬜
⬜
Los registros se recopilan de forma centralizada
⬜
⬜
La retención de registros cumple los requisitos regulatorios
⬜
⬜
Existen alertas para comportamientos anómalos del pipeline
⬜
⬜
Artículo 21(2)(d) — Gestión de Cambios e Integridad
Verificación de Control
Sí
No
Todos los cambios en producción pasan por pipelines CI/CD
⬜
⬜
La integridad de los artefactos se verifica antes del despliegue
⬜
⬜
La procedencia vincula el código fuente con los artefactos desplegados
⬜
⬜
Los despliegues fuera de banda se previenen o registran
⬜
⬜
Las aprobaciones de cambios son auditables
⬜
⬜
Artículo 21(2)(e) — Resiliencia, Copias de Seguridad y Recuperación
Verificación de Control
Sí
No
Los pipelines CI/CD están diseñados para la resiliencia
⬜
⬜
Los entornos de compilación están aislados y robustecidos
⬜
⬜
Las configuraciones del pipeline se respaldan de forma segura
⬜
⬜
Los procedimientos de reversión han sido probados
⬜
⬜
Los componentes CI/CD no representan puntos únicos de fallo
⬜
⬜
Artículo 21(2)(f) — Mejora Continua
Verificación de Control
Sí
No
Los controles de seguridad CI/CD se revisan periódicamente
⬜
⬜
Los controles del pipeline evolucionan con el panorama de amenazas
⬜
⬜
Las lecciones aprendidas se incorporan a los pipelines
⬜
⬜
Las brechas de cumplimiento generan acciones correctivas
⬜
⬜
La supervisión de la dirección incluye la postura de riesgo CI/CD
⬜
⬜
Orientación para Auditores
Al utilizar esta lista de verificación:
Solicitar evidencia técnica, no solo políticas
Verificar que los controles están automatizados y aplicados
Confirmar que la evidencia es actual y reproducible
Evaluar la consistencia entre equipos y pipelines
Prestar especial atención a las excepciones y anulaciones
