{"id":1929,"date":"2026-01-06T20:21:39","date_gmt":"2026-01-06T19:21:39","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-articulo-21-paquete-de-evidencias-para-auditores\/"},"modified":"2026-03-26T09:35:38","modified_gmt":"2026-03-26T08:35:38","slug":"dora-article-21-evidence-pack-for-auditors","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-21-evidence-pack-for-auditors\/","title":{"rendered":"DORA Art\u00edculo 21 \u2014 Paquete de Evidencias para Auditores"},"content":{"rendered":"\n<p><strong>Qu\u00e9 Mostrar, D\u00f3nde Encontrarlo y Por Qu\u00e9 Es Importante<\/strong><\/p>\n\n\n\n<p>Este paquete de evidencias enumera los artefactos t\u00e9cnicos y operativos que las entidades financieras deben presentar para demostrar el cumplimiento del Art\u00edculo 21 de DORA.<br>Se centra en los pipelines CI\/CD como sistemas ICT regulados y hace hincapi\u00e9 en evidencias reproducibles y preparadas para la auditor\u00eda.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">C\u00f3mo Utilizar Este Paquete de Evidencias<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00daselo como <strong>lista de verificaci\u00f3n durante la preparaci\u00f3n de la auditor\u00eda<\/strong><\/li>\n\n\n\n<li>Comp\u00e1rtalo con los <strong>equipos de ingenier\u00eda, seguridad y cumplimiento<\/strong><\/li>\n\n\n\n<li>Adjunte referencias a sistemas reales, registros y repositorios<\/li>\n\n\n\n<li>Aseg\u00farese de que la evidencia sea <strong>actual, trazable y reproducible<\/strong><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Art\u00edculo 21(1) \u2014 Marco de Gesti\u00f3n de Riesgos ICT<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Evidencias a Aportar<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Tipo de Evidencia<\/strong><\/th><th><strong>Qu\u00e9 Esperan los Auditores<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Registro de riesgos ICT<\/td><td>Los pipelines CI\/CD figuran expl\u00edcitamente como sistemas ICT dentro del alcance<\/td><\/tr><tr><td>Modelos de amenazas<\/td><td>Riesgos relacionados con CI\/CD (abuso de credenciales, cadena de suministro, integridad)<\/td><\/tr><tr><td>Planes de tratamiento de riesgos<\/td><td>Controles mapeados a los pipelines CI\/CD<\/td><\/tr><tr><td>Documentaci\u00f3n de gobernanza<\/td><td>Propietarios de la seguridad y el riesgo CI\/CD<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Fuentes Habituales<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Herramientas de gesti\u00f3n de riesgos<\/li>\n\n\n\n<li>Documentaci\u00f3n de arquitectura<\/li>\n\n\n\n<li>Repositorios de gobernanza de seguridad<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(a) \u2014 Control de Acceso<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Evidencias a Aportar<\/strong><\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Tipo de Evidencia<\/strong><\/th><th><strong>Qu\u00e9 Esperan los Auditores<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Pol\u00edticas IAM<\/td><td>M\u00ednimos privilegios para cuentas de servicio CI\/CD<\/td><\/tr><tr><td>Configuraci\u00f3n RBAC<\/td><td>Separaci\u00f3n de roles para la administraci\u00f3n del pipeline<\/td><\/tr><tr><td>Aplicaci\u00f3n de MFA<\/td><td>Prueba de que MFA es obligatorio para usuarios privilegiados<\/td><\/tr><tr><td>Inventario de identidades<\/td><td>Distinci\u00f3n entre identidades humanas y de automatizaci\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Fuentes Habituales<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plataforma IAM<\/li>\n\n\n\n<li>Configuraci\u00f3n del sistema CI\/CD<\/li>\n\n\n\n<li>Informes de revisi\u00f3n de accesos<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(b) \u2014 Segregaci\u00f3n de Funciones<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Evidencias a Aportar<\/strong><\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Tipo de Evidencia<\/strong><\/th><th><strong>Qu\u00e9 Esperan los Auditores<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Reglas de revisi\u00f3n de c\u00f3digo<\/td><td>Revisi\u00f3n por pares obligatoria aplicada<\/td><\/tr><tr><td>Flujos de trabajo de aprobaci\u00f3n<\/td><td>Aprobaci\u00f3n independiente para cambios en producci\u00f3n<\/td><\/tr><tr><td>Mapeo de roles<\/td><td>Separaci\u00f3n entre roles de compilaci\u00f3n, validaci\u00f3n y despliegue<\/td><\/tr><tr><td>Registros de excepciones<\/td><td>Registros de anulaciones y aprobaciones<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Fuentes Habituales<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plataforma de control de c\u00f3digo fuente<\/li>\n\n\n\n<li>Definiciones del pipeline CI\/CD<\/li>\n\n\n\n<li>Registros de auditor\u00eda<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(c) \u2014 Registro y Monitorizaci\u00f3n<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Evidencias a Aportar<\/strong><\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Tipo de Evidencia<\/strong><\/th><th><strong>Qu\u00e9 Esperan los Auditores<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Registros de ejecuci\u00f3n del pipeline<\/td><td>Historial completo de ejecuciones y resultados<\/td><\/tr><tr><td>Registros de eventos de seguridad<\/td><td>Verificaciones fallidas, lanzamientos bloqueados<\/td><\/tr><tr><td>Paneles de monitorizaci\u00f3n<\/td><td>Visibilidad sobre el estado del pipeline<\/td><\/tr><tr><td>Pol\u00edticas de retenci\u00f3n de registros<\/td><td>Alineaci\u00f3n con los requisitos regulatorios<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Fuentes Habituales<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plataformas CI\/CD<\/li>\n\n\n\n<li>SIEM \/ sistemas de registro<\/li>\n\n\n\n<li>Herramientas de monitorizaci\u00f3n<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(d) \u2014 Gesti\u00f3n de Cambios e Integridad<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Evidencias a Aportar<\/strong><\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Tipo de Evidencia<\/strong><\/th><th><strong>Qu\u00e9 Esperan los Auditores<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Registros de despliegue<\/td><td>Todos los cambios en producci\u00f3n trazables a los pipelines<\/td><\/tr><tr><td>Firma de artefactos<\/td><td>Prueba de integridad criptogr\u00e1fica<\/td><\/tr><tr><td>Metadatos de procedencia<\/td><td>Vinculaci\u00f3n fuente \u2192 compilaci\u00f3n \u2192 artefacto<\/td><\/tr><tr><td>Aprobaciones de lanzamientos<\/td><td>Puntos de decisi\u00f3n auditables<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Fuentes Habituales<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Repositorios de artefactos<\/li>\n\n\n\n<li>Almacenes de metadatos CI\/CD<\/li>\n\n\n\n<li>Sistemas de gesti\u00f3n de lanzamientos<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(e) \u2014 Resiliencia, Copias de Seguridad y Recuperaci\u00f3n<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Evidencias a Aportar<\/strong><\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Tipo de Evidencia<\/strong><\/th><th><strong>Qu\u00e9 Esperan los Auditores<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Diagramas de arquitectura CI\/CD<\/td><td>Redundancia y aislamiento<\/td><\/tr><tr><td>Procedimientos de copia de seguridad<\/td><td>Copias de seguridad seguras de las configuraciones del pipeline<\/td><\/tr><tr><td>Pruebas de recuperaci\u00f3n<\/td><td>Evidencia de ejercicios de reversi\u00f3n y recuperaci\u00f3n<\/td><\/tr><tr><td>Manuales de incidentes<\/td><td>Procedimientos de respuesta espec\u00edficos para CI\/CD<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Fuentes Habituales<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Documentaci\u00f3n de arquitectura<\/li>\n\n\n\n<li>Sistemas de copia de seguridad<\/li>\n\n\n\n<li>Herramientas de gesti\u00f3n de incidentes<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(f) \u2014 Mejora Continua<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Evidencias a Aportar<\/strong><\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Tipo de Evidencia<\/strong><\/th><th><strong>Qu\u00e9 Esperan los Auditores<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Informes de revisi\u00f3n<\/td><td>Revisiones peri\u00f3dicas de seguridad CI\/CD<\/td><\/tr><tr><td>Registros de cambios<\/td><td>Mejoras en los controles del pipeline<\/td><\/tr><tr><td>M\u00e9tricas e indicadores clave<\/td><td>Indicadores de seguridad y resiliencia<\/td><\/tr><tr><td>Supervisi\u00f3n de la direcci\u00f3n<\/td><td>Evidencia de revisi\u00f3n de gobernanza<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Fuentes Habituales<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Registros de revisiones de seguridad<\/li>\n\n\n\n<li>Historial de cambios CI\/CD<\/li>\n\n\n\n<li>Actas de reuniones de gobernanza<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Errores Comunes en Auditor\u00edas (Qu\u00e9 NO Mostrar de Forma Aislada)<\/strong><\/h2>\n\n\n\n<p>Los auditores cuestionar\u00e1n:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Pol\u00edticas de alto nivel sin aplicaci\u00f3n t\u00e9cnica<\/li>\n\n\n\n<li>Capturas de pantalla sin trazabilidad<\/li>\n\n\n\n<li>Certificaciones manuales sin evidencia del sistema<\/li>\n\n\n\n<li>Ejemplos puntuales en lugar de controles repetibles<\/li>\n<\/ul>\n\n\n\n<p>La evidencia debe ser <strong>generada por el sistema, con marca temporal y reproducible<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Consejos para Presentar la Evidencia de Forma Eficaz<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Agrupar la evidencia <strong>por subsecci\u00f3n del Art\u00edculo 21<\/strong><\/li>\n\n\n\n<li>Proporcionar <strong>acceso de solo lectura<\/strong> a registros y paneles<\/li>\n\n\n\n<li>Incluir <strong>evidencia de muestra con explicaci\u00f3n<\/strong><\/li>\n\n\n\n<li>Indicar claramente los <strong>responsables del control<\/strong><\/li>\n\n\n\n<li>Evitar sobrecargar a los auditores con datos irrelevantes<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Recursos Relacionados<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-21-deep-dive-enforcing-ict-risk-controls-via-ci-cd\/\" data-type=\"post\" data-id=\"252\">DORA Article 21 Deep Dive<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-articulo-21-%e2%86%94-mapeo-de-controles-ci-cd\/\" data-type=\"post\" data-id=\"255\">Article 21 \u2194 CI\/CD Controls Mapping<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/dora-articulo-21-lista-de-verificacion-para-auditores-ci-cd-y-gestion-de-riesgos-ict\/\" data-type=\"post\" data-id=\"257\">DORA Article 21 Auditor Checklist<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-compliance-architecture-ci-cd-as-a-regulated-ict-system\/\" data-type=\"post\" data-id=\"274\">DORA Compliance Architecture<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/compliance\/\" data-type=\"page\" data-id=\"17\">Compliance<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--audit\"\r\n             dir=\"ltr\" lang=\"es\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Contexto \u201caudit-ready\u201d<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Contenido pensado para entornos regulados: controles antes que herramientas, enforcement en CI\/CD y evidencia por dise\u00f1o para auditor\u00edas.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Enfoque en trazabilidad, aprobaciones, gobernanza de excepciones y retenci\u00f3n de evidencia de extremo a extremo.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/es\/es\/about\/\">Ver la metodolog\u00eda en la p\u00e1gina About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Paquete de evidencias t\u00e9cnicas y operativas para demostrar el cumplimiento del Art\u00edculo 21 de DORA con pipelines CI\/CD como sistemas ICT regulados.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135,131,132],"tags":[],"post_folder":[],"class_list":["post-1929","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks-es","category-audit-evidence-es","category-ci-cd-governance-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1929","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=1929"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1929\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=1929"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=1929"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=1929"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=1929"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}