{"id":1998,"date":"2025-12-31T00:33:44","date_gmt":"2025-12-30T23:33:44","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/auditoria-de-seguridad-ci-cd-mapeo-de-cumplimiento-iso-27001-soc-2-dora\/"},"modified":"2026-03-26T09:30:46","modified_gmt":"2026-03-26T08:30:46","slug":"ci-cd-security-audit-compliance-mapping-iso-27001-soc-2-dora","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/ci-cd-security-audit-compliance-mapping-iso-27001-soc-2-dora\/","title":{"rendered":"Auditor\u00eda de Seguridad CI\/CD \u2014 Mapeo de Cumplimiento (ISO 27001 \/ SOC 2 \/ DORA)"},"content":{"rendered":"\n

Esta tabla de auditor\u00eda orientada al cumplimiento normativo<\/a> mapea los controles de seguridad CI\/CD<\/a> con marcos regulatorios y de aseguramiento comunes.
Est\u00e1 dise\u00f1ada para apoyar auditor\u00edas internas, evaluaciones externas y la preparaci\u00f3n regulatoria en entornos empresariales.<\/p>\n\n\n\n

\n\n\n\n

\ud83d\udd10 Gesti\u00f3n de Identidad y Acceso (IAM)<\/h2>\n\n\n\n
Control<\/strong><\/th>ISO 27001<\/strong><\/th>SOC 2<\/strong><\/th>DORA<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
M\u00ednimo privilegio aplicado a cuentas de servicio CI\/CD<\/td>A.8.2 \/ A.5.15<\/td>CC6.1<\/td>Gesti\u00f3n de Riesgos ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Segregaci\u00f3n entre identidades humanas y del pipeline<\/td>A.6.3<\/td>CC6.3<\/td>Gobernanza<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Acceso basado en roles para la configuraci\u00f3n del pipeline<\/td>A.5.18<\/td>CC6.2<\/td>Control de Acceso<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
MFA aplicado a los administradores de CI\/CD<\/td>A.5.17<\/td>CC6.1<\/td>Seguridad ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Aprobaci\u00f3n requerida para acciones privilegiadas del pipeline<\/td>A.5.19<\/td>CC7.2<\/td>Gesti\u00f3n de Cambios<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

\ud83d\udd11 Gesti\u00f3n de Secretos<\/h2>\n\n\n\n
Control<\/strong><\/th>ISO 27001<\/strong><\/th>SOC 2<\/strong><\/th>DORA<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Secretos no almacenados en el control de c\u00f3digo fuente<\/td>A.8.12<\/td>CC6.1<\/td>Seguridad ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Inyecci\u00f3n de secretos en tiempo de ejecuci\u00f3n<\/td>A.8.24<\/td>CC6.7<\/td>Gesti\u00f3n de Riesgos ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Secretos con \u00e1mbito por entorno<\/td>A.5.15<\/td>CC6.2<\/td>Gobernanza<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Rotaci\u00f3n peri\u00f3dica de secretos<\/td>A.8.15<\/td>CC6.1<\/td>Seguridad ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Valores de secretos excluidos de los registros<\/td>A.8.16<\/td>CC7.2<\/td>Monitoreo<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

\ud83d\udce6 Integridad de Artefactos y Cadena de Suministro de Software<\/h2>\n\n\n\n
Control<\/strong><\/th>ISO 27001<\/strong><\/th>SOC 2<\/strong><\/th>DORA<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Entornos de compilaci\u00f3n CI\/CD reforzados<\/td>A.8.20<\/td>CC6.6<\/td>Resiliencia ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Firma de artefactos aplicada<\/td>A.8.23<\/td>CC7.3<\/td>Cadena de Suministro<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Procedencia que vincula c\u00f3digo, pipeline y artefacto<\/td>A.8.9<\/td>CC7.2<\/td>Trazabilidad<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los repositorios de artefactos aplican inmutabilidad<\/td>A.8.10<\/td>CC6.5<\/td>Seguridad ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Promoci\u00f3n limitada a artefactos de confianza<\/td>A.8.21<\/td>CC6.6<\/td>Gesti\u00f3n de Cambios<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

\ud83d\udd17 Integraciones de Terceros y CI\/CD<\/h2>\n\n\n\n
Control<\/strong><\/th>ISO 27001<\/strong><\/th>SOC 2<\/strong><\/th>DORA<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Plugins CI\/CD de terceros aprobados formalmente<\/td>A.5.22<\/td>CC6.3<\/td>Riesgo de Terceros<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Integraciones fijadas a versiones espec\u00edficas<\/td>A.8.8<\/td>CC7.3<\/td>Cadena de Suministro<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Verificaci\u00f3n de integridad de acciones externas<\/td>A.8.23<\/td>CC7.3<\/td>Seguridad ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Restricci\u00f3n de plugins mantenidos por la comunidad<\/td>A.5.23<\/td>CC6.6<\/td>Gesti\u00f3n de Riesgos<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Monitoreo del uso de integraciones<\/td>A.8.16<\/td>CC7.2<\/td>Monitoreo<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

\ud83d\udcca Registro, Monitoreo y Evidencias de Auditor\u00eda<\/h2>\n\n\n\n
Control<\/strong><\/th>ISO 27001<\/strong><\/th>SOC 2<\/strong><\/th>DORA<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Actividad del pipeline CI\/CD completamente registrada<\/td>A.8.15<\/td>CC7.2<\/td>Monitoreo<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los registros incluyen aprobaciones y comprobaciones de seguridad<\/td>A.8.14<\/td>CC7.3<\/td>Gobernanza<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Recopilaci\u00f3n centralizada de registros<\/td>A.8.16<\/td>CC7.2<\/td>Gesti\u00f3n de Riesgos ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Retenci\u00f3n de registros alineada con la pol\u00edtica<\/td>A.5.34<\/td>CC7.4<\/td>Mantenimiento de Registros<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
La evidencia apoya auditor\u00edas e investigaciones<\/td>A.5.31<\/td>CC2.2<\/td>Cumplimiento<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

\ud83d\udee1\ufe0f Gesti\u00f3n de Cambios y Gobernanza<\/h2>\n\n\n\n
Control<\/strong><\/th>ISO 27001<\/strong><\/th>SOC 2<\/strong><\/th>DORA<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Cambios revisados y aprobados a trav\u00e9s del pipeline<\/td>A.8.32<\/td>CC8.1<\/td>Gesti\u00f3n de Cambios<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Separaci\u00f3n entre roles de compilaci\u00f3n e implementaci\u00f3n<\/td>A.6.3<\/td>CC6.3<\/td>Gobernanza<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Aplicaci\u00f3n de pol\u00edticas a trav\u00e9s de puertas automatizadas<\/td>A.5.19<\/td>CC7.2<\/td>Seguridad ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Excepciones aprobadas y registradas formalmente<\/td>A.5.31<\/td>CC2.3<\/td>Cumplimiento<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Gobernanza CI\/CD revisada peri\u00f3dicamente<\/td>A.5.36<\/td>CC1.2<\/td>Supervisi\u00f3n<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

C\u00f3mo Utilizar Esta Tabla de Auditor\u00eda de Cumplimiento<\/h2>\n\n\n\n