La entrega de software moderna se basa en los pipelines CI\/CD como mecanismo central a trav\u00e9s del cual los cambios de c\u00f3digo pasan del desarrollo a la producci\u00f3n. Para las organizaciones que buscan la atestaci\u00f3n SOC 2, estos pipelines no son simplemente infraestructura de ingenier\u00eda \u2014 son entornos de control<\/strong> que afectan directamente la integridad, disponibilidad y confidencialidad de los servicios entregados a los clientes.<\/p>\n Los auditores de SOC 2 reconocen cada vez m\u00e1s que los pipelines CI\/CD representan un punto de control cr\u00edtico donde se aplican las decisiones de acceso, se autorizan los cambios, se realizan las pruebas de seguridad y se establece la integridad del despliegue. Si su organizaci\u00f3n entrega software a trav\u00e9s de pipelines automatizados, esos pipelines est\u00e1n claramente dentro del alcance de su compromiso SOC 2.<\/p>\n Este art\u00edculo proporciona un mapeo completo entre los Criterios de Servicio de Confianza de AICPA y los controles espec\u00edficos que deben implementarse y evidenciarse en entornos CI\/CD.<\/p>\n La siguiente tabla mapea cada Criterio de Servicio de Confianza relevante al control CI\/CD correspondiente y la evidencia que un auditor espera examinar.<\/p>\n Los controles de acceso en entornos CI\/CD presentan desaf\u00edos \u00fanicos en comparaci\u00f3n con el acceso tradicional a aplicaciones. Los sistemas de pipeline a menudo implican m\u00faltiples plataformas interconectadas \u2014 repositorios de c\u00f3digo fuente, sistemas de compilaci\u00f3n, registros de artefactos, orquestadores de despliegue y proveedores de infraestructura en la nube.<\/p>\n Control de acceso basado en roles (RBAC):<\/strong> Cada plataforma de pipeline debe aplicar RBAC granular que distinga entre desarrolladores, revisores, aprobadores y administradores. Los auditores verifican que los roles est\u00e9n formalmente definidos, documentados y aplicados de forma consistente en todos los componentes del pipeline.<\/p>\n Autenticaci\u00f3n multifactor (MFA):<\/strong> Todo acceso humano a los sistemas de pipeline debe requerir MFA. Esto incluye el acceso a repositorios, consolas del sistema de compilaci\u00f3n, interfaces de aprobaci\u00f3n de despliegue y consolas de gesti\u00f3n de infraestructura. Los auditores probar\u00e1n espec\u00edficamente los escenarios y excepciones de omisi\u00f3n de MFA.<\/p>\n M\u00ednimo privilegio:<\/strong> Las cuentas de servicio del pipeline, las credenciales de runners y los tokens de automatizaci\u00f3n deben operar con los permisos m\u00ednimos necesarios. Las cuentas de servicio con permisos excesivos representan uno de los hallazgos m\u00e1s comunes en las auditor\u00edas CI\/CD.<\/p>\n Revisiones de acceso:<\/strong> Las revisiones de acceso trimestrales deben cubrir todos los sistemas de pipeline. Estas revisiones deben validar que los empleados que han abandonado la organizaci\u00f3n han sido dados de baja, que las asignaciones de roles siguen siendo apropiadas y que los permisos de las cuentas de servicio no se han ampliado m\u00e1s all\u00e1 de su alcance original.<\/p>\n La monitorizaci\u00f3n operativa de los pipelines CI\/CD debe ir m\u00e1s all\u00e1 de las m\u00e9tricas de tiempo de actividad y rendimiento. SOC 2 requiere que las organizaciones detecten, eval\u00faen y respondan a los eventos que puedan afectar la prestaci\u00f3n del servicio.<\/p>\n La gesti\u00f3n de cambios es donde los pipelines CI\/CD intersectan m\u00e1s directamente con los requisitos de SOC 2. El propio pipeline es el mecanismo de gesti\u00f3n de cambios, y los auditores examinar\u00e1n minuciosamente si aplica los controles de forma consistente.<\/p>\n Requisitos de revisi\u00f3n de c\u00f3digo:<\/strong> Cada cambio destinado a producci\u00f3n debe someterse a una revisi\u00f3n por pares por parte de una persona cualificada que no sea el autor. Los auditores tomar\u00e1n muestras de solicitudes de fusi\u00f3n para verificar que esto se aplica de forma consistente.<\/p>\n Flujos de trabajo de aprobaci\u00f3n:<\/strong> Se debe requerir aprobaci\u00f3n formal antes del despliegue en producci\u00f3n. La aprobaci\u00f3n debe estar documentada, con marca de tiempo y atribuible a una persona espec\u00edfica con autoridad para aprobar.<\/p>\n Puertas de despliegue:<\/strong> Las puertas de calidad y seguridad automatizadas deben impedir el despliegue cuando no se cumplen los umbrales definidos. Los criterios de las puertas deben incluir resultados de an\u00e1lisis de seguridad, cobertura de pruebas y verificaciones de cumplimiento.<\/p>\n Capacidades de reversi\u00f3n:<\/strong> Deben existir procedimientos de reversi\u00f3n documentados y probados para cada despliegue. Los auditores verificar\u00e1n que se ha probado la reversi\u00f3n y que los eventos de reversi\u00f3n est\u00e1n registrados.<\/p>\n Segregaci\u00f3n de funciones:<\/strong> La persona que escribe el c\u00f3digo no debe ser la misma que lo aprueba y despliega. Este es un control fundamental que los auditores verifican mediante el muestreo de registros de despliegue.<\/p>\n Los pipelines CI\/CD introducen un riesgo significativo de terceros a trav\u00e9s de dependencias de c\u00f3digo abierto, infraestructura de compilaci\u00f3n compartida y herramientas basadas en SaaS.<\/p>\n Riesgos de componentes de terceros:<\/strong> Mantener un inventario completo de los componentes de c\u00f3digo abierto y de terceros consumidos a trav\u00e9s del pipeline. Implementar an\u00e1lisis automatizados de vulnerabilidades conocidas y problemas de cumplimiento de licencias.<\/p>\n Riesgos de runners compartidos:<\/strong> Si se utiliza infraestructura de compilaci\u00f3n compartida (runners alojados en la nube, agentes de compilaci\u00f3n compartidos), evaluar y documentar las garant\u00edas de aislamiento. Los runners compartidos pueden exponer secretos o permitir interferencias entre inquilinos.<\/p>\n Gobernanza de dependencias SaaS:<\/strong> Evaluar y documentar la postura de seguridad de cada plataforma SaaS en la cadena del pipeline. Obtener y revisar los informes SOC 2 de sus proveedores de herramientas de pipeline como parte de su programa de gesti\u00f3n de proveedores.<\/p>\n Disponibilidad:<\/strong> Si la disponibilidad del pipeline afecta directamente la prestaci\u00f3n del servicio a los clientes, los criterios de disponibilidad entran en el alcance. Documentar los objetivos de tiempo de recuperaci\u00f3n para la infraestructura del pipeline y probar los procedimientos de recuperaci\u00f3n ante desastres.<\/p>\n Confidencialidad:<\/strong> Los pipelines manejan habitualmente informaci\u00f3n confidencial incluyendo c\u00f3digo fuente, secretos, claves de API y datos de configuraci\u00f3n. Los controles deben proteger la informaci\u00f3n confidencial en reposo y en tr\u00e1nsito a lo largo del pipeline.<\/p>\nMapeo completo de TSC a controles de pipeline<\/h2>\n
\n\n
\n \nCriterio TSC<\/th>\n Descripci\u00f3n del criterio<\/th>\n Control CI\/CD<\/th>\n Evidencia requerida<\/th>\n<\/tr>\n<\/thead>\n \n CC6.1<\/td>\n Seguridad de acceso l\u00f3gico sobre activos protegidos<\/td>\n Control de acceso basado en roles (RBAC) para sistemas de pipeline, permisos de repositorio<\/td>\n Exportaciones de configuraci\u00f3n RBAC, listas de control de acceso, matrices de permisos<\/td>\n<\/tr>\n \n CC6.2<\/td>\n Credenciales de acceso gestionadas y autenticadas<\/td>\n Aplicaci\u00f3n de MFA, gobernanza de cuentas de servicio, gesti\u00f3n de secretos<\/td>\n Registros de inscripci\u00f3n de MFA, registros de rotaci\u00f3n de secretos, informes de auditor\u00eda de credenciales<\/td>\n<\/tr>\n \n CC6.3<\/td>\n Acceso autorizado seg\u00fan necesidad de negocio<\/td>\n Aplicaci\u00f3n de m\u00ednimo privilegio, acceso justo a tiempo para permisos elevados<\/td>\n Registros de solicitud\/aprobaci\u00f3n de acceso, revisiones de acceso trimestrales, registros de escalada de privilegios<\/td>\n<\/tr>\n \n CC6.6<\/td>\n Medidas de seguridad contra amenazas externas<\/td>\n Segmentaci\u00f3n de red de entornos de compilaci\u00f3n, aislamiento de runners, integridad de artefactos<\/td>\n Diagramas de red, reglas de firewall, documentaci\u00f3n de configuraci\u00f3n de runners<\/td>\n<\/tr>\n \n CC7.1<\/td>\n Detecci\u00f3n de cambios de configuraci\u00f3n<\/td>\n Monitorizaci\u00f3n de configuraci\u00f3n del pipeline, detecci\u00f3n de desviaciones, auditor\u00eda de infraestructura como c\u00f3digo<\/td>\n Registros de cambios de configuraci\u00f3n, informes de detecci\u00f3n de desviaciones, rastros de auditor\u00eda de IaC<\/td>\n<\/tr>\n \n CC7.2<\/td>\n Monitorizaci\u00f3n de anomal\u00edas e indicadores de compromiso<\/td>\n Detecci\u00f3n de anomal\u00edas en el pipeline, alertas de patrones de compilaci\u00f3n inusuales, monitorizaci\u00f3n de despliegues fallidos<\/td>\n Configuraci\u00f3n de alertas, informes de detecci\u00f3n de anomal\u00edas, tickets de incidentes generados por alertas<\/td>\n<\/tr>\n \n CC7.3<\/td>\n Evaluaci\u00f3n de eventos detectados<\/td>\n Procesos de clasificaci\u00f3n para eventos de seguridad del pipeline, clasificaci\u00f3n de severidad<\/td>\n Libros de respuesta a incidentes, registros de clasificaci\u00f3n, registros de clasificaci\u00f3n de eventos<\/td>\n<\/tr>\n \n CC7.4<\/td>\n Ejecuci\u00f3n de la respuesta a incidentes<\/td>\n Procedimientos de respuesta a incidentes del pipeline, procesos de reversi\u00f3n de emergencia<\/td>\n Planes de IR que cubren CI\/CD, revisiones posteriores al incidente, registros de ejecuci\u00f3n de reversi\u00f3n<\/td>\n<\/tr>\n \n CC8.1<\/td>\n Cambios autorizados, dise\u00f1ados, desarrollados, configurados, probados y aprobados<\/td>\n Revisi\u00f3n de c\u00f3digo obligatoria, flujos de trabajo de aprobaci\u00f3n, puertas de despliegue, pruebas automatizadas<\/td>\n Registros de aprobaci\u00f3n de solicitudes de fusi\u00f3n, registros de aprobaci\u00f3n\/rechazo de puertas, informes de ejecuci\u00f3n de pruebas<\/td>\n<\/tr>\n \n CC9.1<\/td>\n Identificaci\u00f3n y evaluaci\u00f3n de riesgos<\/td>\n Evaluaciones de riesgo de dependencias de terceros, modelado de amenazas del pipeline<\/td>\n Registros de riesgos, inventarios de dependencias, documentos de modelos de amenazas<\/td>\n<\/tr>\n \n CC9.2<\/td>\n Actividades de mitigaci\u00f3n de riesgos<\/td>\n An\u00e1lisis de dependencias, SLAs de remediaci\u00f3n de vulnerabilidades, evaluaciones de proveedores<\/td>\n Informes de an\u00e1lisis, plazos de remediaci\u00f3n, registros de evaluaci\u00f3n de proveedores<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n CC6: Controles de acceso l\u00f3gico y f\u00edsico en CI\/CD<\/h2>\n
Requisitos de control clave<\/h3>\n
CC7: Operaciones del sistema \u2014 Monitorizaci\u00f3n del pipeline y respuesta a incidentes<\/h2>\n
Requisitos de monitorizaci\u00f3n del pipeline<\/h3>\n
\n
CC8: Gesti\u00f3n de cambios \u2014 El n\u00facleo de la gobernanza CI\/CD<\/h2>\n
Controles cr\u00edticos<\/h3>\n
CC9: Mitigaci\u00f3n de riesgos \u2014 Riesgos de terceros y de la cadena de suministro<\/h2>\n
\u00c1reas de riesgo a abordar<\/h3>\n
Criterios de disponibilidad y confidencialidad en CI\/CD<\/h2>\n
Qu\u00e9 prueban espec\u00edficamente los auditores de SOC 2<\/h2>\n
\n
Deficiencias de control comunes en entornos CI\/CD<\/h2>\n
\n\n
\n \nDeficiencia<\/th>\n Impacto<\/th>\n Hallazgo t\u00edpico<\/th>\n<\/tr>\n<\/thead>\n \n Procedimientos de acceso de emergencia no formalizados<\/td>\n Omisi\u00f3n no controlada de la gesti\u00f3n de cambios<\/td>\n Excepci\u00f3n CC8.1 \u2014 cambios desplegados sin la aprobaci\u00f3n requerida<\/td>\n<\/tr>\n \n Cuentas de servicio con permisos excesivos<\/td>\n Violaci\u00f3n del principio de m\u00ednimo privilegio<\/td>\n Deficiencia CC6.3 \u2014 el acceso supera el requisito de negocio<\/td>\n<\/tr>\n \n Aplicaci\u00f3n de MFA inconsistente<\/td>\n Riesgo de acceso no autorizado<\/td>\n Deficiencia CC6.2 \u2014 controles de autenticaci\u00f3n no aplicados uniformemente<\/td>\n<\/tr>\n \n Sin monitorizaci\u00f3n de cambios de configuraci\u00f3n del pipeline<\/td>\n Debilitamiento no detectado de controles<\/td>\n Deficiencia CC7.1 \u2014 cambios en el entorno de control no detectados<\/td>\n<\/tr>\n \n Revisiones de acceso que no cubren los sistemas de pipeline<\/td>\n Acceso obsoleto o inapropiado persiste<\/td>\n Deficiencia CC6.3 \u2014 la revisi\u00f3n peri\u00f3dica no cubre todos los sistemas en el alcance<\/td>\n<\/tr>\n \n Sin aplicaci\u00f3n de segregaci\u00f3n de funciones<\/td>\n Una sola persona puede crear y desplegar cambios<\/td>\n Deficiencia CC8.1 \u2014 separaci\u00f3n insuficiente de funciones incompatibles<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Recursos relacionados<\/h2>\n
\n
Relacionado para auditores<\/h3>\n