Sección A — Gobernanza e Inventario
| Control | Sí | No | Referencia de Evidencia |
|---|---|---|---|
| Existe inventario completo de proveedores relacionados con CI/CD | ☐ | ☐ | |
| Clasificación de criticidad del proveedor definida | ☐ | ☐ | |
| Propietario de negocio formalmente asignado | ☐ | ☐ | |
| Propietario técnico formalmente asignado | ☐ | ☐ | |
| Evaluación de riesgo anual realizada | ☐ | ☐ | |
| Lista de subprocesadores documentada | ☐ | ☐ |
Sección B — Controles Contractuales y Regulatorios
| Control | Sí | No | Referencia de Evidencia |
|---|---|---|---|
| Obligaciones de seguridad incluidas en el contrato | ☐ | ☐ | |
| SLA de notificación de incidentes definido | ☐ | ☐ | |
| Cláusula de derechos de auditoría presente | ☐ | ☐ | |
| Transparencia de ubicación de datos incluida | ☐ | ☐ | |
| Cláusula de estrategia de salida definida contractualmente | ☐ | ☐ |
Sección C — Aplicación Técnica de CI/CD
| Control | Sí | No | Referencia de Evidencia |
|---|---|---|---|
| SSO aplicado en cuentas de administración CI/CD | ☐ | ☐ | |
| MFA obligatorio para roles privilegiados | ☐ | ☐ | |
| Acceso basado en roles con mínimo privilegio | ☐ | ☐ | |
| Ramas protegidas aplicadas | ☐ | ☐ | |
| Aprobaciones de producción obligatorias configuradas | ☐ | ☐ | |
| Puertas de política bloquean hallazgos críticos | ☐ | ☐ | |
| Firma de artefactos aplicada | ☐ | ☐ | |
| Generación de SBOM automatizada | ☐ | ☐ | |
| Aislamiento de runners implementado | ☐ | ☐ |
Sección D — Evidencia y Retención
| Control | Sí | No | Referencia de Evidencia |
|---|---|---|---|
| Registros CI/CD conservados según política | ☐ | ☐ | |
| Registros de aprobación exportables | ☐ | ☐ | |
| Resultados de análisis de seguridad archivados centralmente | ☐ | ☐ | |
| Trazabilidad completa commit → artefacto → producción | ☐ | ☐ | |
| Período de retención de evidencia documentado | ☐ | ☐ |
Sección E — Estrategia de Salida y Pruebas DR
| Control | Sí | No | Referencia de Evidencia |
|---|---|---|---|
| Existe plan de salida documentado | ☐ | ☐ | |
| Exportación de código probada | ☐ | ☐ | |
| Exportación de configuración de pipeline probada | ☐ | ☐ | |
| Exportación de artefactos probada | ☐ | ☐ | |
| Ejercicio DR / migración realizado | ☐ | ☐ |
Bloque de Decisión del Auditor
- Calificación de riesgo general: ___
- Hallazgos críticos: ___
- Remediación requerida antes de: ___
- Fecha de auditoría de seguimiento: ___
