{"id":1962,"date":"2026-02-17T09:58:56","date_gmt":"2026-02-17T08:58:56","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/lista-de-verificacion-de-gobernanza-de-proveedores-y-controles-ci-cd\/"},"modified":"2026-03-26T09:27:08","modified_gmt":"2026-03-26T08:27:08","slug":"supplier-governance-ci-cd-controls-checklist","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/supplier-governance-ci-cd-controls-checklist\/","title":{"rendered":"Lista de Verificaci\u00f3n de Gobernanza de Proveedores y Controles CI\/CD"},"content":{"rendered":"\n<p><em>Controles de Riesgo ICT de Terceros para Pipelines CI\/CD Regulados<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Por qu\u00e9 existe esta lista de verificaci\u00f3n<\/strong><\/h2>\n\n\n\n<p>En entornos regulados, los proveedores no son \u00abexternos\u00bb. Son parte de su sistema de entrega.<\/p>\n\n\n\n<p>Cuando servicios de terceros soportan su SDLC (alojamiento Git, CI\/CD SaaS, registros de artefactos, tiempo de ejecuci\u00f3n en la nube, analizadores de seguridad), los auditores esperan que demuestre:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Gobernanza de proveedores<\/strong> (inventario, clasificaci\u00f3n, contratos, planes de salida)<\/li>\n\n\n\n<li><strong>Controles t\u00e9cnicos CI\/CD<\/strong> (aislamiento de acceso, aplicaci\u00f3n de pol\u00edticas, retenci\u00f3n de evidencia)<\/li>\n\n\n\n<li><strong>Monitorizaci\u00f3n continua y responsabilidad<\/strong> (subprocesadores, SLAs, incidentes)<\/li>\n<\/ul>\n\n\n\n<p>Esta lista de verificaci\u00f3n est\u00e1 dise\u00f1ada para ser utilizada por equipos de <strong>seguridad<\/strong>, <strong>ingenier\u00eda<\/strong>, <strong>riesgo<\/strong> y <strong>auditor\u00eda<\/strong> como referencia de control compartida.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Alcance: proveedores que t\u00edpicamente afectan a CI\/CD<\/strong><\/h2>\n\n\n\n<p>Utilice esta lista de verificaci\u00f3n para cualquier proveedor que proporcione:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Alojamiento Git (GitHub\/GitLab SaaS)<\/li>\n\n\n\n<li>Plataforma CI\/CD (GitHub Actions, GitLab CI SaaS, CircleCI, etc.)<\/li>\n\n\n\n<li>Runners (runners alojados \/ compartidos \/ en la nube)<\/li>\n\n\n\n<li>Registros de artefactos (registros de contenedores \/ Maven \/ binarios)<\/li>\n\n\n\n<li>Proxies y mirrors de dependencias<\/li>\n\n\n\n<li>Tiempo de ejecuci\u00f3n en la nube \/ Kubernetes gestionado \/ PaaS<\/li>\n\n\n\n<li>Herramientas de seguridad SaaS (SAST\/DAST\/SCA, an\u00e1lisis de secretos)<\/li>\n\n\n\n<li>Observabilidad y logging SaaS (SIEM \/ monitorizaci\u00f3n)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>1) Inventario de proveedores y propiedad<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Lista de verificaci\u00f3n<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Existe un inventario completo de proveedores utilizados en SDLC\/CI\/CD (incluido el uso no declarado).<\/li>\n\n\n\n<li>Cada proveedor tiene un <strong>propietario de negocio<\/strong> y un <strong>propietario t\u00e9cnico<\/strong> nombrados.<\/li>\n\n\n\n<li>El inventario recoge <strong>d\u00f3nde<\/strong> se sit\u00faa el proveedor (Git, CI, registro, tiempo de ejecuci\u00f3n, logging).<\/li>\n\n\n\n<li>La criticidad est\u00e1 definida por proveedor (impacto si no est\u00e1 disponible\/comprometido).<\/li>\n\n\n\n<li>Las ubicaciones de datos del proveedor y el modelo de alojamiento est\u00e1n documentados (UE\/EE.UU., multirregi\u00f3n, etc.).<\/li>\n\n\n\n<li>Las rutas de acceso de terceros a sus sistemas est\u00e1n listadas (SSO, tokens API, agentes, webhooks).<\/li>\n<\/ul>\n\n\n\n<p><strong>Ejemplos de evidencia<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Hoja de c\u00e1lculo de inventario de proveedores \/ entrada CMDB<\/li>\n\n\n\n<li>Mapa de arquitectura que muestra los puntos de contacto del proveedor<\/li>\n\n\n\n<li>Registro de propiedad (RACI)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>2) Clasificaci\u00f3n de riesgo del proveedor<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Lista de verificaci\u00f3n<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Existe una clasificaci\u00f3n de riesgo formal (Cr\u00edtico \/ Alto \/ Medio \/ Bajo).<\/li>\n\n\n\n<li>La calificaci\u00f3n de riesgo incluye <strong>confidencialidad, integridad, disponibilidad<\/strong> e <strong>impacto regulatorio<\/strong>.<\/li>\n\n\n\n<li>Los proveedores de CI\/CD y artefactos se tratan como <strong>cr\u00edticos para la integridad<\/strong> por defecto.<\/li>\n\n\n\n<li>La calificaci\u00f3n de riesgo impulsa los requisitos de control obligatorios (p. ej., mayor logging, plan de salida).<\/li>\n\n\n\n<li>La calificaci\u00f3n de riesgo se revisa al menos anualmente o ante cambios importantes.<\/li>\n<\/ul>\n\n\n\n<p><strong>Ejemplos de evidencia<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Informe \/ cuestionario de evaluaci\u00f3n de riesgos<\/li>\n\n\n\n<li>Metodolog\u00eda de riesgo de terceros<\/li>\n\n\n\n<li>Marcas de tiempo de revisi\u00f3n y aprobaciones<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>3) Base contractual (seguridad + auditabilidad)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Lista de verificaci\u00f3n<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>El contrato incluye obligaciones de seguridad (controles de base, gesti\u00f3n de vulnerabilidades, cifrado).<\/li>\n\n\n\n<li>El contrato incluye <strong>derechos de auditor\u00eda<\/strong> o mecanismo de garant\u00eda equivalente.<\/li>\n\n\n\n<li>El contrato incluye plazos de notificaci\u00f3n de brechas\/incidentes (incluidos criterios de materialidad).<\/li>\n\n\n\n<li>El contrato incluye obligaciones de divulgaci\u00f3n de subprocesadores.<\/li>\n\n\n\n<li>El contrato incluye requisitos de retenci\u00f3n y eliminaci\u00f3n de datos.<\/li>\n\n\n\n<li>El contrato incluye expectativas de continuidad del servicio (BCP\/DR).<\/li>\n\n\n\n<li>El contrato incluye condiciones de salida\/transici\u00f3n (exportaci\u00f3n de datos, soporte de migraci\u00f3n).<\/li>\n<\/ul>\n\n\n\n<p><strong>Ejemplos de evidencia<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Cl\u00e1usulas contractuales firmadas (anexo de seguridad)<\/li>\n\n\n\n<li>Registro de subprocesadores<\/li>\n\n\n\n<li>Cl\u00e1usula de SLA de notificaci\u00f3n de incidentes<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>4) Identidad, acceso y aislamiento (aplicaci\u00f3n t\u00e9cnica)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Lista de verificaci\u00f3n<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>SSO aplicado en consolas de administraci\u00f3n de proveedores donde sea posible.<\/li>\n\n\n\n<li>MFA obligatorio para cuentas privilegiadas.<\/li>\n\n\n\n<li>Los roles son m\u00ednimos y est\u00e1n mapeados a las necesidades del puesto (m\u00ednimo privilegio).<\/li>\n\n\n\n<li>Las revisiones de acceso se realizan regularmente (trimestralmente para proveedores cr\u00edticos).<\/li>\n\n\n\n<li>Los runners CI\/CD est\u00e1n aislados (sin runners compartidos para cargas de trabajo sensibles).<\/li>\n\n\n\n<li>Los secretos no se almacenan en interfaces de proveedor a menos que est\u00e9n controlados (usar vault\/inyecci\u00f3n).<\/li>\n\n\n\n<li>Los tokens de terceros tienen alcance limitado, se rotan y se monitorizan.<\/li>\n<\/ul>\n\n\n\n<p><strong>Ejemplos de evidencia<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Exportaciones \/ capturas de pantalla de pol\u00edticas IAM<\/li>\n\n\n\n<li>Registros de revisi\u00f3n de acceso<\/li>\n\n\n\n<li>Configuraci\u00f3n del runner que muestra el aislamiento<\/li>\n\n\n\n<li>Pol\u00edtica de rotaci\u00f3n de tokens + prueba<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>5) Aplicaci\u00f3n de pol\u00edtica del pipeline (puertas que no pueden eludirse)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Lista de verificaci\u00f3n<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Existen aprobaciones obligatorias para despliegues a producci\u00f3n.<\/li>\n\n\n\n<li>Las puertas de pol\u00edtica bloquean lanzamientos ante fallos cr\u00edticos de an\u00e1lisis (SAST\/SCA\/DAST seg\u00fan aplique).<\/li>\n\n\n\n<li>La firma de artefactos se aplica antes de la promoci\u00f3n del lanzamiento.<\/li>\n\n\n\n<li>La generaci\u00f3n de SBOM est\u00e1 automatizada para los lanzamientos.<\/li>\n\n\n\n<li>Las ramas protegidas \/ reglas de fusi\u00f3n se aplican en repositorios regulados.<\/li>\n\n\n\n<li>Las excepciones se gobiernan (con l\u00edmite de tiempo, aprobadas, documentadas).<\/li>\n\n\n\n<li>Los administradores de pipeline no pueden deshabilitar controles silenciosamente (cambios rastreados).<\/li>\n<\/ul>\n\n\n\n<p><strong>Ejemplos de evidencia<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Configuraci\u00f3n del pipeline CI\/CD (puertas)<\/li>\n\n\n\n<li>Configuraci\u00f3n de rama protegida<\/li>\n\n\n\n<li>Registros de aprobaci\u00f3n de lanzamiento<\/li>\n\n\n\n<li>Registro de excepciones<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>6) Generaci\u00f3n y retenci\u00f3n de evidencia (dise\u00f1ado para auditor\u00eda)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Lista de verificaci\u00f3n<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Los registros CI\/CD se conservan durante un per\u00edodo definido alineado con los requisitos.<\/li>\n\n\n\n<li>Los eventos de aprobaci\u00f3n se registran y son exportables.<\/li>\n\n\n\n<li>Los resultados de an\u00e1lisis de seguridad se almacenan centralmente (no solo en paneles del proveedor).<\/li>\n\n\n\n<li>Existe trazabilidad: commit \u2192 ejecuci\u00f3n del pipeline \u2192 artefacto \u2192 despliegue \u2192 producci\u00f3n.<\/li>\n\n\n\n<li>El almac\u00e9n de evidencia es resistente a la manipulaci\u00f3n o de acceso controlado.<\/li>\n\n\n\n<li>Las exportaciones de auditor\u00eda se prueban (capacidad de producir evidencia r\u00e1pidamente).<\/li>\n<\/ul>\n\n\n\n<p><strong>Ejemplos de evidencia<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Pol\u00edtica de retenci\u00f3n de evidencia<\/li>\n\n\n\n<li>Configuraci\u00f3n de retenci\u00f3n SIEM \/ configuraci\u00f3n de archivado<\/li>\n\n\n\n<li>Informe de trazabilidad (lanzamiento de muestra)<\/li>\n\n\n\n<li>Registro de prueba de exportaci\u00f3n (\u00absimulacro de auditor\u00eda\u00bb)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>7) Monitorizaci\u00f3n, incidentes y responsabilidad del proveedor<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Lista de verificaci\u00f3n<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>El proveedor proporciona notificaciones de incidentes de seguridad dentro del SLA definido.<\/li>\n\n\n\n<li>Se monitoriza el estado\/disponibilidad del proveedor y se integran las se\u00f1ales en los flujos de trabajo operativos.<\/li>\n\n\n\n<li>Se monitorizan las anomal\u00edas del pipeline CI\/CD (flujos de trabajo inesperados, nuevos tokens, nuevos runners).<\/li>\n\n\n\n<li>Se rastrean y eval\u00faan los avisos de seguridad del proveedor.<\/li>\n\n\n\n<li>Se mantiene un playbook interno de incidentes que referencia las rutas de escalada del proveedor.<\/li>\n\n\n\n<li>Se pueden correlacionar los eventos del pipeline y del proveedor (l\u00ednea de tiempo compartida).<\/li>\n<\/ul>\n\n\n\n<p><strong>Ejemplos de evidencia<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Paneles de monitorizaci\u00f3n + reglas de alerta<\/li>\n\n\n\n<li>Plan de respuesta a incidentes con contactos del proveedor<\/li>\n\n\n\n<li>Postmortems que hacen referencia a la participaci\u00f3n del proveedor<\/li>\n\n\n\n<li>Tickets de seguimiento de avisos<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>8) Visibilidad de subprocesadores (profundidad de la cadena de suministro)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Lista de verificaci\u00f3n<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>El proveedor proporciona una lista actualizada de subprocesadores.<\/li>\n\n\n\n<li>Los cambios en los subprocesadores se notifican y revisan.<\/li>\n\n\n\n<li>Los subprocesadores cr\u00edticos se eval\u00faan en cuanto al riesgo.<\/li>\n\n\n\n<li>Se comprenden los flujos de datos que involucran subprocesadores.<\/li>\n\n\n\n<li>Los contratos incluyen obligaciones de subprocesadores (seguridad y notificaci\u00f3n).<\/li>\n<\/ul>\n\n\n\n<p><strong>Ejemplos de evidencia<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Exportaci\u00f3n de lista de subprocesadores<\/li>\n\n\n\n<li>Registro de revisi\u00f3n de riesgo<\/li>\n\n\n\n<li>Diagramas de flujo de datos<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>9) Prueba de estrategia de salida (realismo DR y BCP)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Lista de verificaci\u00f3n<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Existe un plan de salida documentado para cada proveedor CI\/CD cr\u00edtico.<\/li>\n\n\n\n<li>Se puede exportar c\u00f3digo fuente, definiciones de pipeline, artefactos, registros.<\/li>\n\n\n\n<li>Existe una ruta de migraci\u00f3n probada (CI\/CD alternativo, registro, modelo de runner).<\/li>\n\n\n\n<li>Se realizan pruebas de salida (ejercicios de mesa + simulacros t\u00e9cnicos) en intervalos definidos.<\/li>\n\n\n\n<li>Las expectativas de RTO\/RPO est\u00e1n documentadas y validadas con evidencia.<\/li>\n<\/ul>\n\n\n\n<p><strong>Ejemplos de evidencia<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Documento del plan de salida<\/li>\n\n\n\n<li>Registros y capturas de pantalla de prueba de exportaci\u00f3n<\/li>\n\n\n\n<li>Informe del ejercicio DR<\/li>\n\n\n\n<li>Prueba de concepto de migraci\u00f3n<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h1 class=\"wp-block-heading\"><strong>Tabla de Auditor\u00eda (S\u00ed \/ No \/ Notas)<\/strong><\/h1>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>\u00c1rea de Control<\/strong><\/th><th><strong>Verificaci\u00f3n<\/strong><\/th><th class=\"has-text-align-center\" data-align=\"center\"><strong>S\u00ed<\/strong><\/th><th class=\"has-text-align-center\" data-align=\"center\"><strong>No<\/strong><\/th><th><strong>Notas \/ Enlace de Evidencia<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Inventario<\/td><td>Inventario de proveedores completo (SDLC\/CI\/CD)<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Propiedad<\/td><td>Propietario de negocio + t\u00e9cnico definido<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Clasificaci\u00f3n<\/td><td>Clasificaci\u00f3n de riesgo aplicada a proveedores CI\/CD<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Contratos<\/td><td>Obligaciones de seguridad en contrato<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Contratos<\/td><td>Derechos de auditor\u00eda \/ mecanismo de garant\u00eda<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Contratos<\/td><td>SLA de notificaci\u00f3n de incidentes definido<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Contratos<\/td><td>Cl\u00e1usulas de salida incluidas<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Acceso<\/td><td>SSO aplicado (donde sea posible)<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Acceso<\/td><td>MFA obligatorio para cuentas privilegiadas<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Acceso<\/td><td>Roles de m\u00ednimo privilegio aplicados<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Runners<\/td><td>Aislamiento de runners (sin runners compartidos)<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Secretos<\/td><td>Secretos inyectados en tiempo de ejecuci\u00f3n (vault)<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Puertas de pol\u00edtica<\/td><td>Aprobaciones obligatorias para producci\u00f3n<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Puertas de pol\u00edtica<\/td><td>Puertas bloqueantes ante hallazgos cr\u00edticos<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Integridad<\/td><td>Firma de artefactos aplicada<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Integridad<\/td><td>SBOM generado autom\u00e1ticamente<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Evidencia<\/td><td>Registros conservados seg\u00fan pol\u00edtica<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Evidencia<\/td><td>Registros de aprobaci\u00f3n exportables<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Evidencia<\/td><td>Trazabilidad commit\u2192prod demostrada<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Monitorizaci\u00f3n<\/td><td>Anomal\u00edas del proveedor + pipeline monitorizadas<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Subprocesadores<\/td><td>Visibilidad + revisi\u00f3n de subprocesadores<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Prueba de salida<\/td><td>Plan de salida probado con evidencia<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Gu\u00eda de Implementaci\u00f3n T\u00e9cnica<\/strong><\/h2>\n\n\n\n<p>Esta lista de verificaci\u00f3n define las expectativas de gobernanza.<\/p>\n\n\n\n<p>Para una gu\u00eda pr\u00e1ctica de implementaci\u00f3n de ingenier\u00eda (GitHub, GitLab, aislamiento de runners, puertas de pol\u00edtica, firma de artefactos), consulte:<br>\ud83d\udc49 <strong><a href=\"https:\/\/secure-pipelines.com\/ci-cd-security\/engineer-remediation-guide-for-ci-cd-supplier-controls\/\" data-type=\"link\" data-id=\"https:\/\/secure-pipelines.com\/ci-cd-security\/engineer-remediation-guide-for-ci-cd-supplier-controls\/\" target=\"_blank\" rel=\"noopener\">Engineer Remediation Guide for CI\/CD Supplier Controls<\/a><\/strong><\/p>\n\n\n\n<p>Este art\u00edculo complementario proporciona ejemplos concretos de configuraci\u00f3n y patrones de implementaci\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo relacionado<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/supplier-governance-ci-cd-controls-strict-auditor-version\/\" data-type=\"post\" data-id=\"915\">Supplier Governance &amp; CI\/CD Controls \u2014 Strict Auditor Version<\/a><\/strong><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>En entornos regulados, los proveedores que soportan su SDLC son parte de su sistema de entrega. Esta lista de verificaci\u00f3n cubre gobernanza de proveedores, controles t\u00e9cnicos CI\/CD, monitorizaci\u00f3n continua y pruebas de estrategia de salida \u2014 dise\u00f1ada como referencia de control compartida para equipos de seguridad, ingenier\u00eda, riesgo y auditor\u00eda.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135,132],"tags":[],"post_folder":[],"class_list":["post-1962","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks-es","category-ci-cd-governance-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1962","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=1962"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1962\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=1962"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=1962"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=1962"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=1962"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}