{"id":1899,"date":"2026-01-06T20:04:52","date_gmt":"2026-01-06T19:04:52","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-articulo-21-%e2%86%94-mapeo-de-controles-ci-cd\/"},"modified":"2026-03-26T09:34:55","modified_gmt":"2026-03-26T08:34:55","slug":"dora-article-21-%e2%86%94-ci-cd-controls-mapping","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-21-%e2%86%94-ci-cd-controls-mapping\/","title":{"rendered":"DORA Art\u00edculo 21 \u2194 Mapeo de Controles CI\/CD"},"content":{"rendered":"\n<p>Esta tabla mapea los requisitos de gesti\u00f3n de riesgos ICT del Art\u00edculo 21 de DORA a controles concretos de seguridad en pipelines CI\/CD.<br>Apoya la interpretaci\u00f3n regulatoria, la preparaci\u00f3n de auditor\u00edas y las revisiones de implementaci\u00f3n t\u00e9cnica.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Art\u00edculo 21(1) \u2014 Marco de Gesti\u00f3n de Riesgos ICT<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Requisito DORA<\/strong><\/th><th><strong>Control CI\/CD<\/strong><\/th><th><strong>Evidencia Generada<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Identificar y evaluar riesgos ICT<\/td><td>Pruebas de seguridad automatizadas (SAST, SCA, DAST)<\/td><td>Informes de an\u00e1lisis, registros de pipeline<\/td><\/tr><tr><td>Prevenir y mitigar riesgos ICT<\/td><td>Aplicaci\u00f3n de pol\u00edticas y puertas de pipeline<\/td><td>Decisiones de puertas, aprobaciones<\/td><\/tr><tr><td>Detectar actividades an\u00f3malas<\/td><td>Monitorizaci\u00f3n y alertas de pipeline<\/td><td>Registros de alertas, eventos SIEM<\/td><\/tr><tr><td>Responder a incidentes ICT<\/td><td>Reversiones y redespliegues controlados<\/td><td>Historial de despliegues<\/td><\/tr><tr><td>Recuperarse de interrupciones<\/td><td>Compilaciones y versiones reproducibles<\/td><td>Metadatos de compilaci\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Art\u00edculo 21(2)(a) \u2014 Control de Acceso<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Requisito DORA<\/strong><\/th><th><strong>Control CI\/CD<\/strong><\/th><th><strong>Evidencia Generada<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Prevenir accesos no autorizados<\/td><td>RBAC para la configuraci\u00f3n CI\/CD<\/td><td>Registros de control de acceso<\/td><\/tr><tr><td>Proteger operaciones privilegiadas<\/td><td>Cuentas de servicio con m\u00ednimos privilegios<\/td><td>Pol\u00edticas IAM<\/td><\/tr><tr><td>Asegurar el acceso administrativo<\/td><td>MFA para administradores CI\/CD<\/td><td>Registros de autenticaci\u00f3n<\/td><\/tr><tr><td>Controlar identidades de automatizaci\u00f3n<\/td><td>Identidades de pipeline separadas<\/td><td>Inventario de identidades<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Art\u00edculo 21(2)(b) \u2014 Segregaci\u00f3n de Funciones<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Requisito DORA<\/strong><\/th><th><strong>Control CI\/CD<\/strong><\/th><th><strong>Evidencia Generada<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Separar roles en conflicto<\/td><td>Requisitos de revisi\u00f3n de c\u00f3digo<\/td><td>Historial de pull requests<\/td><\/tr><tr><td>Prevenir la auto-aprobaci\u00f3n<\/td><td>Reglas de aprobaci\u00f3n aplicadas por el pipeline<\/td><td>Registros de aprobaci\u00f3n<\/td><\/tr><tr><td>Controlar la autorizaci\u00f3n de lanzamientos<\/td><td>Permisos separados de compilaci\u00f3n y despliegue<\/td><td>Mapeo de roles del pipeline<\/td><\/tr><tr><td>Registrar anulaciones y excepciones<\/td><td>Registro de excepciones<\/td><td>Registros de auditor\u00eda de anulaciones<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Art\u00edculo 21(2)(c) \u2014 Registro y Monitorizaci\u00f3n<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Requisito DORA<\/strong><\/th><th><strong>Control CI\/CD<\/strong><\/th><th><strong>Evidencia Generada<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Monitorizar la actividad del sistema ICT<\/td><td>Registro completo de ejecuci\u00f3n del pipeline<\/td><td>Registros de ejecuci\u00f3n<\/td><\/tr><tr><td>Detectar eventos relevantes para la seguridad<\/td><td>Alertas de controles fallidos y anomal\u00edas<\/td><td>Alertas de seguridad<\/td><\/tr><tr><td>Retener registros de forma segura<\/td><td>Almacenamiento centralizado de registros<\/td><td>Configuraci\u00f3n de retenci\u00f3n<\/td><\/tr><tr><td>Apoyar investigaciones<\/td><td>Pistas de auditor\u00eda inmutables<\/td><td>Registros preparados para an\u00e1lisis forense<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Art\u00edculo 21(2)(d) \u2014 Gesti\u00f3n de Cambios e Integridad<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Requisito DORA<\/strong><\/th><th><strong>Control CI\/CD<\/strong><\/th><th><strong>Evidencia Generada<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Controlar cambios en sistemas ICT<\/td><td>Pipelines CI\/CD obligatorios<\/td><td>Historial de despliegues<\/td><\/tr><tr><td>Garantizar la integridad de los cambios<\/td><td>Firma y verificaci\u00f3n de artefactos<\/td><td>Metadatos de firma<\/td><\/tr><tr><td>Rastrear cambios de extremo a extremo<\/td><td>Vinculaci\u00f3n fuente \u2192 pipeline \u2192 artefacto<\/td><td>Registros de procedencia<\/td><\/tr><tr><td>Prevenir despliegues no autorizados<\/td><td>Puertas de pol\u00edticas y aprobaciones<\/td><td>Registros de aplicaci\u00f3n de puertas<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Art\u00edculo 21(2)(e) \u2014 Resiliencia, Copias de Seguridad y Recuperaci\u00f3n<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Requisito DORA<\/strong><\/th><th><strong>Control CI\/CD<\/strong><\/th><th><strong>Evidencia Generada<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Garantizar la resiliencia del sistema<\/td><td>Entornos de compilaci\u00f3n robustecidos y aislados<\/td><td>Configuraci\u00f3n del entorno<\/td><\/tr><tr><td>Prevenir puntos \u00fanicos de fallo<\/td><td>Componentes CI\/CD redundantes<\/td><td>Documentaci\u00f3n de arquitectura<\/td><\/tr><tr><td>Habilitar mecanismos de recuperaci\u00f3n<\/td><td>Flujos de trabajo de reversi\u00f3n y redespliegue<\/td><td>Registros de recuperaci\u00f3n<\/td><\/tr><tr><td>Proteger configuraciones<\/td><td>Copia de seguridad segura de la configuraci\u00f3n del pipeline<\/td><td>Registros de copias de seguridad<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Art\u00edculo 21(2)(f) \u2014 Mejora Continua<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Requisito DORA<\/strong><\/th><th><strong>Control CI\/CD<\/strong><\/th><th><strong>Evidencia Generada<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Revisar la postura de riesgo ICT<\/td><td>Revisiones peri\u00f3dicas de seguridad del pipeline<\/td><td>Informes de revisi\u00f3n<\/td><\/tr><tr><td>Actualizar controles seg\u00fan sea necesario<\/td><td>Cambios en la configuraci\u00f3n del pipeline<\/td><td>Registros de cambios<\/td><\/tr><tr><td>Mejorar la detecci\u00f3n y prevenci\u00f3n<\/td><td>Actualizaciones de herramientas y ajuste de reglas<\/td><td>Historial de versiones<\/td><\/tr><tr><td>Alinearse con las amenazas emergentes<\/td><td>Actualizaciones del pipeline informadas por amenazas<\/td><td>Evaluaciones de riesgos<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">C\u00f3mo Utilizan Esta Tabla los Auditores<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Validar que los <strong>requisitos del Art\u00edculo 21 se aplican t\u00e9cnicamente<\/strong><\/li>\n\n\n\n<li>Identificar <strong>d\u00f3nde contribuye CI\/CD a la gesti\u00f3n de riesgos ICT<\/strong><\/li>\n\n\n\n<li>Solicitar <strong>evidencia espec\u00edfica<\/strong> generada por los pipelines<\/li>\n\n\n\n<li>Evaluar la <strong>consistencia y repetibilidad<\/strong> de los controles<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Recursos Relacionados<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-21-deep-dive-enforcing-ict-risk-controls-via-ci-cd\/\" data-type=\"post\" data-id=\"252\">DORA Article 21 Deep Dive<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/ci-cd-security-audit-compliance-mapping-iso-27001-soc-2-dora\/\" data-type=\"post\" data-id=\"235\">CI\/CD Security Audit \u2014 ISO 27001 \/ SOC 2 \/ DORA Mapping<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-compliance-architecture-ci-cd-as-a-regulated-ict-system\/\" data-type=\"post\" data-id=\"274\">DORA Compliance Architecture<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/compliance\/\" data-type=\"page\" data-id=\"17\">Compliance<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--audit\"\r\n             dir=\"ltr\" lang=\"es\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Contexto \u201caudit-ready\u201d<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Contenido pensado para entornos regulados: controles antes que herramientas, enforcement en CI\/CD y evidencia por dise\u00f1o para auditor\u00edas.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Enfoque en trazabilidad, aprobaciones, gobernanza de excepciones y retenci\u00f3n de evidencia de extremo a extremo.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/es\/es\/about\/\">Ver la metodolog\u00eda en la p\u00e1gina About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>Esta tabla mapea los requisitos de gesti\u00f3n de riesgos ICT del Art\u00edculo 21 de DORA a controles concretos de seguridad en pipelines CI\/CD.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135,132],"tags":[],"post_folder":[],"class_list":["post-1899","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks-es","category-ci-cd-governance-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1899","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=1899"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1899\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=1899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=1899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=1899"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=1899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}