{"id":2022,"date":"2025-12-31T00:33:24","date_gmt":"2025-12-30T23:33:24","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/auditoria-de-seguridad-ci-cd-mapeo-de-cumplimiento-nis2-pci-dss\/"},"modified":"2026-03-26T09:32:42","modified_gmt":"2026-03-26T08:32:42","slug":"ci-cd-security-audit-compliance-mapping-nis2-pci-dss","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/ci-cd-security-audit-compliance-mapping-nis2-pci-dss\/","title":{"rendered":"Auditor\u00eda de Seguridad CI\/CD \u2014 Mapeo de Cumplimiento (NIS2 \/ PCI DSS)"},"content":{"rendered":"\n

Esta tabla de auditor\u00eda mapea los controles de seguridad CI\/CD<\/a> con los requisitos de la Directiva NIS2 y los controles de PCI DSS.
Apoya la gesti\u00f3n de riesgos, la seguridad de la cadena de suministro y la preparaci\u00f3n para auditor\u00edas en sistemas cr\u00edticos y relacionados con pagos.<\/p>\n\n\n\n

\n\n\n\n

\ud83d\udd10 Gesti\u00f3n de Identidad y Acceso (IAM)<\/h2>\n\n\n\n
Control<\/strong><\/th>NIS2<\/strong><\/th>PCI DSS<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
M\u00ednimo privilegio aplicado a cuentas de servicio CI\/CD<\/td>Art. 21(2)(b)<\/td>Req. 7.2<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Separaci\u00f3n entre identidades humanas y del pipeline<\/td>Art. 21(2)(d)<\/td>Req. 7.1<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
RBAC aplicado a los sistemas CI\/CD<\/td>Art. 21(2)(b)<\/td>Req. 7.2<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
MFA aplicado a los administradores de CI\/CD<\/td>Art. 21(2)(a)<\/td>Req. 8.4<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Las acciones privilegiadas requieren aprobaci\u00f3n<\/td>Art. 21(2)(d)<\/td>Req. 6.4<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

\ud83d\udd11 Gesti\u00f3n de Secretos y Credenciales<\/h2>\n\n\n\n
Control<\/strong><\/th>NIS2<\/strong><\/th>PCI DSS<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Secretos no almacenados en el c\u00f3digo fuente<\/td>Art. 21(2)(a)<\/td>Req. 3.4<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Inyecci\u00f3n de secretos en tiempo de ejecuci\u00f3n<\/td>Art. 21(2)(a)<\/td>Req. 3.6<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Credenciales con \u00e1mbito por entorno<\/td>Art. 21(2)(b)<\/td>Req. 7.2<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Rotaci\u00f3n peri\u00f3dica de secretos<\/td>Art. 21(2)(c)<\/td>Req. 3.6.4<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Secretos excluidos de los registros<\/td>Art. 21(2)(a)<\/td>Req. 10.5<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

\ud83d\udce6 Cadena de Suministro de Software e Integridad de Artefactos<\/h2>\n\n\n\n
Control<\/strong><\/th>NIS2<\/strong><\/th>PCI DSS<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Entornos de compilaci\u00f3n CI\/CD reforzados<\/td>Art. 21(2)(e)<\/td>Req. 6.2<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Firma de artefactos aplicada<\/td>Art. 21(2)(e)<\/td>Req. 6.3<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Procedencia y trazabilidad de artefactos<\/td>Art. 21(2)(e)<\/td>Req. 6.4<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los repositorios de artefactos son inmutables<\/td>Art. 21(2)(a)<\/td>Req. 6.4<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Solo se promueven artefactos de confianza<\/td>Art. 21(2)(d)<\/td>Req. 6.4<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

\ud83d\udd17 Integraciones de Terceros y CI\/CD<\/h2>\n\n\n\n
Control<\/strong><\/th>NIS2<\/strong><\/th>PCI DSS<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Herramientas CI\/CD de terceros aprobadas formalmente<\/td>Art. 21(2)(e)<\/td>Req. 12.8<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Acciones de terceros fijadas a versiones<\/td>Art. 21(2)(e)<\/td>Req. 6.3<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Integridad de los componentes CI\/CD externos verificada<\/td>Art. 21(2)(e)<\/td>Req. 6.2<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Plugins de la comunidad restringidos<\/td>Art. 21(2)(b)<\/td>Req. 6.2<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Actividad de las integraciones monitorizada<\/td>Art. 21(2)(c)<\/td>Req. 10.4<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

\ud83d\udcca Registro, Monitoreo y Preparaci\u00f3n para Incidentes<\/h2>\n\n\n\n
Control<\/strong><\/th>NIS2<\/strong><\/th>PCI DSS<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Actividad del pipeline CI\/CD completamente registrada<\/td>Art. 21(2)(c)<\/td>Req. 10.2<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los registros incluyen aprobaciones y eventos de seguridad<\/td>Art. 21(2)(c)<\/td>Req. 10.3<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Registro centralizado habilitado<\/td>Art. 21(2)(c)<\/td>Req. 10.5<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Retenci\u00f3n de registros alineada con la pol\u00edtica<\/td>Art. 21(2)(c)<\/td>Req. 10.7<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los registros CI\/CD apoyan la investigaci\u00f3n de incidentes<\/td>Art. 23<\/td>Req. 12.10<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

\ud83d\udee1\ufe0f Gobernanza, Riesgos y Gesti\u00f3n de Cambios<\/h2>\n\n\n\n
Control<\/strong><\/th>NIS2<\/strong><\/th>PCI DSS<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
CI\/CD incluido en la gesti\u00f3n de riesgos de ciberseguridad<\/td>Art. 21<\/td>Req. 12.2<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Segregaci\u00f3n de funciones aplicada<\/td>Art. 21(2)(d)<\/td>Req. 7.1<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Aprobaciones de cambios aplicadas a trav\u00e9s de pipelines<\/td>Art. 21(2)(d)<\/td>Req. 6.4<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Excepciones aprobadas y documentadas formalmente<\/td>Art. 21(2)(b)<\/td>Req. 12.3<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Postura de seguridad CI\/CD revisada peri\u00f3dicamente<\/td>Art. 21(2)(f)<\/td>Req. 12.11<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

C\u00f3mo Utilizar Esta Tabla de Auditor\u00eda NIS2 \/ PCI DSS<\/h2>\n\n\n\n