Introducción: Por qué los pipelines CI/CD están en el alcance de los compromisos SOC 2
La entrega de software moderna se basa en los pipelines CI/CD como mecanismo central a través del cual los cambios de código pasan del desarrollo a la producción. Para las organizaciones que buscan la atestación SOC 2, estos pipelines no son simplemente infraestructura de ingeniería — son entornos de control que afectan directamente la integridad, disponibilidad y confidencialidad de los servicios entregados a los clientes.
Los auditores de SOC 2 reconocen cada vez más que los pipelines CI/CD representan un punto de control crítico donde se aplican las decisiones de acceso, se autorizan los cambios, se realizan las pruebas de seguridad y se establece la integridad del despliegue. Si su organización entrega software a través de pipelines automatizados, esos pipelines están claramente dentro del alcance de su compromiso SOC 2.
Este artículo proporciona un mapeo completo entre los Criterios de Servicio de Confianza de AICPA y los controles específicos que deben implementarse y evidenciarse en entornos CI/CD.
Mapeo completo de TSC a controles de pipeline
La siguiente tabla mapea cada Criterio de Servicio de Confianza relevante al control CI/CD correspondiente y la evidencia que un auditor espera examinar.
| Criterio TSC | Descripción del criterio | Control CI/CD | Evidencia requerida |
|---|---|---|---|
| CC6.1 | Seguridad de acceso lógico sobre activos protegidos | Control de acceso basado en roles (RBAC) para sistemas de pipeline, permisos de repositorio | Exportaciones de configuración RBAC, listas de control de acceso, matrices de permisos |
| CC6.2 | Credenciales de acceso gestionadas y autenticadas | Aplicación de MFA, gobernanza de cuentas de servicio, gestión de secretos | Registros de inscripción de MFA, registros de rotación de secretos, informes de auditoría de credenciales |
| CC6.3 | Acceso autorizado según necesidad de negocio | Aplicación de mínimo privilegio, acceso justo a tiempo para permisos elevados | Registros de solicitud/aprobación de acceso, revisiones de acceso trimestrales, registros de escalada de privilegios |
| CC6.6 | Medidas de seguridad contra amenazas externas | Segmentación de red de entornos de compilación, aislamiento de runners, integridad de artefactos | Diagramas de red, reglas de firewall, documentación de configuración de runners |
| CC7.1 | Detección de cambios de configuración | Monitorización de configuración del pipeline, detección de desviaciones, auditoría de infraestructura como código | Registros de cambios de configuración, informes de detección de desviaciones, rastros de auditoría de IaC |
| CC7.2 | Monitorización de anomalías e indicadores de compromiso | Detección de anomalías en el pipeline, alertas de patrones de compilación inusuales, monitorización de despliegues fallidos | Configuración de alertas, informes de detección de anomalías, tickets de incidentes generados por alertas |
| CC7.3 | Evaluación de eventos detectados | Procesos de clasificación para eventos de seguridad del pipeline, clasificación de severidad | Libros de respuesta a incidentes, registros de clasificación, registros de clasificación de eventos |
| CC7.4 | Ejecución de la respuesta a incidentes | Procedimientos de respuesta a incidentes del pipeline, procesos de reversión de emergencia | Planes de IR que cubren CI/CD, revisiones posteriores al incidente, registros de ejecución de reversión |
| CC8.1 | Cambios autorizados, diseñados, desarrollados, configurados, probados y aprobados | Revisión de código obligatoria, flujos de trabajo de aprobación, puertas de despliegue, pruebas automatizadas | Registros de aprobación de solicitudes de fusión, registros de aprobación/rechazo de puertas, informes de ejecución de pruebas |
| CC9.1 | Identificación y evaluación de riesgos | Evaluaciones de riesgo de dependencias de terceros, modelado de amenazas del pipeline | Registros de riesgos, inventarios de dependencias, documentos de modelos de amenazas |
| CC9.2 | Actividades de mitigación de riesgos | Análisis de dependencias, SLAs de remediación de vulnerabilidades, evaluaciones de proveedores | Informes de análisis, plazos de remediación, registros de evaluación de proveedores |
CC6: Controles de acceso lógico y físico en CI/CD
Los controles de acceso en entornos CI/CD presentan desafíos únicos en comparación con el acceso tradicional a aplicaciones. Los sistemas de pipeline a menudo implican múltiples plataformas interconectadas — repositorios de código fuente, sistemas de compilación, registros de artefactos, orquestadores de despliegue y proveedores de infraestructura en la nube.
Requisitos de control clave
Control de acceso basado en roles (RBAC): Cada plataforma de pipeline debe aplicar RBAC granular que distinga entre desarrolladores, revisores, aprobadores y administradores. Los auditores verifican que los roles estén formalmente definidos, documentados y aplicados de forma consistente en todos los componentes del pipeline.
Autenticación multifactor (MFA): Todo acceso humano a los sistemas de pipeline debe requerir MFA. Esto incluye el acceso a repositorios, consolas del sistema de compilación, interfaces de aprobación de despliegue y consolas de gestión de infraestructura. Los auditores probarán específicamente los escenarios y excepciones de omisión de MFA.
Mínimo privilegio: Las cuentas de servicio del pipeline, las credenciales de runners y los tokens de automatización deben operar con los permisos mínimos necesarios. Las cuentas de servicio con permisos excesivos representan uno de los hallazgos más comunes en las auditorías CI/CD.
Revisiones de acceso: Las revisiones de acceso trimestrales deben cubrir todos los sistemas de pipeline. Estas revisiones deben validar que los empleados que han abandonado la organización han sido dados de baja, que las asignaciones de roles siguen siendo apropiadas y que los permisos de las cuentas de servicio no se han ampliado más allá de su alcance original.
CC7: Operaciones del sistema — Monitorización del pipeline y respuesta a incidentes
La monitorización operativa de los pipelines CI/CD debe ir más allá de las métricas de tiempo de actividad y rendimiento. SOC 2 requiere que las organizaciones detecten, evalúen y respondan a los eventos que puedan afectar la prestación del servicio.
Requisitos de monitorización del pipeline
- Detección de cambios de configuración: Alertar cuando se modifiquen las definiciones del pipeline, las políticas de seguridad o los requisitos de aprobación
- Detección de anomalías: Identificar patrones inusuales como compilaciones activadas fuera del horario laboral, despliegues que omiten puertas de aprobación o aumentos repentinos en los análisis de seguridad fallidos
- Gestión de capacidad: Asegurar que la infraestructura de compilación pueda soportar las cargas de trabajo esperadas sin degradación que pudiera llevar a omitir verificaciones de seguridad
- Integración de respuesta a incidentes: Los eventos de seguridad del pipeline deben alimentar el programa más amplio de respuesta a incidentes de la organización con clasificaciones de severidad definidas y procedimientos de respuesta
CC8: Gestión de cambios — El núcleo de la gobernanza CI/CD
La gestión de cambios es donde los pipelines CI/CD intersectan más directamente con los requisitos de SOC 2. El propio pipeline es el mecanismo de gestión de cambios, y los auditores examinarán minuciosamente si aplica los controles de forma consistente.
Controles críticos
Requisitos de revisión de código: Cada cambio destinado a producción debe someterse a una revisión por pares por parte de una persona cualificada que no sea el autor. Los auditores tomarán muestras de solicitudes de fusión para verificar que esto se aplica de forma consistente.
Flujos de trabajo de aprobación: Se debe requerir aprobación formal antes del despliegue en producción. La aprobación debe estar documentada, con marca de tiempo y atribuible a una persona específica con autoridad para aprobar.
Puertas de despliegue: Las puertas de calidad y seguridad automatizadas deben impedir el despliegue cuando no se cumplen los umbrales definidos. Los criterios de las puertas deben incluir resultados de análisis de seguridad, cobertura de pruebas y verificaciones de cumplimiento.
Capacidades de reversión: Deben existir procedimientos de reversión documentados y probados para cada despliegue. Los auditores verificarán que se ha probado la reversión y que los eventos de reversión están registrados.
Segregación de funciones: La persona que escribe el código no debe ser la misma que lo aprueba y despliega. Este es un control fundamental que los auditores verifican mediante el muestreo de registros de despliegue.
CC9: Mitigación de riesgos — Riesgos de terceros y de la cadena de suministro
Los pipelines CI/CD introducen un riesgo significativo de terceros a través de dependencias de código abierto, infraestructura de compilación compartida y herramientas basadas en SaaS.
Áreas de riesgo a abordar
Riesgos de componentes de terceros: Mantener un inventario completo de los componentes de código abierto y de terceros consumidos a través del pipeline. Implementar análisis automatizados de vulnerabilidades conocidas y problemas de cumplimiento de licencias.
Riesgos de runners compartidos: Si se utiliza infraestructura de compilación compartida (runners alojados en la nube, agentes de compilación compartidos), evaluar y documentar las garantías de aislamiento. Los runners compartidos pueden exponer secretos o permitir interferencias entre inquilinos.
Gobernanza de dependencias SaaS: Evaluar y documentar la postura de seguridad de cada plataforma SaaS en la cadena del pipeline. Obtener y revisar los informes SOC 2 de sus proveedores de herramientas de pipeline como parte de su programa de gestión de proveedores.
Criterios de disponibilidad y confidencialidad en CI/CD
Disponibilidad: Si la disponibilidad del pipeline afecta directamente la prestación del servicio a los clientes, los criterios de disponibilidad entran en el alcance. Documentar los objetivos de tiempo de recuperación para la infraestructura del pipeline y probar los procedimientos de recuperación ante desastres.
Confidencialidad: Los pipelines manejan habitualmente información confidencial incluyendo código fuente, secretos, claves de API y datos de configuración. Los controles deben proteger la información confidencial en reposo y en tránsito a lo largo del pipeline.
Qué prueban específicamente los auditores de SOC 2
- Evidencia de que los controles operan de forma consistente — no solo que existen en la política
- Evidencia generada por el sistema en lugar de evidencia autoinformada o compilada manualmente
- Muestras de registros de cambios que muestran cadenas de aprobación completas
- Documentación de revisión de acceso que muestra la remediación efectiva de los problemas identificados
- Registros de respuesta a incidentes que demuestren que los eventos del pipeline se detectan y abordan
- Integridad del entorno de control — sin brechas donde los cambios omitan el pipeline
Deficiencias de control comunes en entornos CI/CD
| Deficiencia | Impacto | Hallazgo típico |
|---|---|---|
| Procedimientos de acceso de emergencia no formalizados | Omisión no controlada de la gestión de cambios | Excepción CC8.1 — cambios desplegados sin la aprobación requerida |
| Cuentas de servicio con permisos excesivos | Violación del principio de mínimo privilegio | Deficiencia CC6.3 — el acceso supera el requisito de negocio |
| Aplicación de MFA inconsistente | Riesgo de acceso no autorizado | Deficiencia CC6.2 — controles de autenticación no aplicados uniformemente |
| Sin monitorización de cambios de configuración del pipeline | Debilitamiento no detectado de controles | Deficiencia CC7.1 — cambios en el entorno de control no detectados |
| Revisiones de acceso que no cubren los sistemas de pipeline | Acceso obsoleto o inapropiado persiste | Deficiencia CC6.3 — la revisión periódica no cubre todos los sistemas en el alcance |
| Sin aplicación de segregación de funciones | Una sola persona puede crear y desplegar cambios | Deficiencia CC8.1 — separación insuficiente de funciones incompatibles |
Recursos relacionados
Relacionado para auditores
- Glosario — Definiciones en lenguaje sencillo de términos técnicos
- Core CI/CD Security Controls
- Dual-Compliance Architecture
- How Auditors Review CI/CD
¿Nuevo en la auditoría CI/CD? Comience con nuestra Guía para Auditores.
