{"id":2023,"date":"2026-03-25T16:59:33","date_gmt":"2026-03-25T15:59:33","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/soc-2-type-ii-requisitos-de-evidencia-sostenida-en-ci-cd\/"},"modified":"2026-03-26T09:32:46","modified_gmt":"2026-03-26T08:32:46","slug":"soc-2-type-ii-sustained-ci-cd-evidence-requirements","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/audit-evidence-es\/soc-2-type-ii-sustained-ci-cd-evidence-requirements\/","title":{"rendered":"SOC 2 Type II \u2014 Requisitos de Evidencia Sostenida en CI\/CD"},"content":{"rendered":"<h2>Comprendiendo Type I vs. Type II: por qu\u00e9 la distinci\u00f3n importa<\/h2>\n<p>Los informes SOC 2 se presentan en dos formas, y la distinci\u00f3n es cr\u00edtica para las organizaciones que dependen de pipelines CI\/CD para la entrega de software.<\/p>\n<p><strong>Type I (Punto en el tiempo):<\/strong> Eval\u00faa si los controles est\u00e1n adecuadamente dise\u00f1ados e implementados en una fecha espec\u00edfica. Un informe Type I es esencialmente una instant\u00e1nea \u2014 confirma que los controles correctos existen en el d\u00eda del examen.<\/p>\n<p><strong>Type II (Per\u00edodo de tiempo):<\/strong> Eval\u00faa si los controles operaron eficazmente durante un per\u00edodo definido, normalmente de seis a doce meses. Un informe Type II demuestra que los controles no solo est\u00e1n dise\u00f1ados correctamente sino que se aplican de forma consistente a lo largo del per\u00edodo de examen.<\/p>\n<p>Para los entornos CI\/CD, esta distinci\u00f3n es especialmente significativa. Es relativamente sencillo configurar controles de pipeline \u2014 aplicar revisiones de c\u00f3digo, habilitar el an\u00e1lisis de seguridad, requerir aprobaciones. El desaf\u00edo mucho mayor es demostrar que estos controles operaron sin excepciones (o con excepciones debidamente documentadas) durante un per\u00edodo prolongado.<\/p>\n<h2>Por qu\u00e9 Type II importa m\u00e1s para los entornos CI\/CD<\/h2>\n<p>Los clientes, prospectos y socios requieren cada vez m\u00e1s informes Type II porque proporcionan garant\u00eda de que los controles son sostenibles, no solo aspiracionales. Espec\u00edficamente para CI\/CD:<\/p>\n<ul>\n<li><strong>La automatizaci\u00f3n crea oportunidades y riesgos:<\/strong> Los pipelines pueden aplicar controles de forma consistente, pero las configuraciones incorrectas o las excepciones pueden crear brechas sist\u00e9micas que persisten sin detectarse durante meses<\/li>\n<li><strong>El volumen de evidencia es sustancial:<\/strong> Un equipo de desarrollo activo puede producir miles de despliegues durante un per\u00edodo de auditor\u00eda, proporcionando una gran poblaci\u00f3n para el muestreo del auditor<\/li>\n<li><strong>Los patrones importan:<\/strong> El examen Type II revela tendencias \u2014 tasas de excepci\u00f3n crecientes, cumplimiento degradado o aplicaci\u00f3n inconsistente \u2014 que una evaluaci\u00f3n en un punto del tiempo no detectar\u00eda<\/li>\n<li><strong>La operaci\u00f3n sostenida demuestra madurez:<\/strong> Una operaci\u00f3n de control consistente durante 6-12 meses se\u00f1ala el compromiso organizacional y la madurez operativa a las partes que conf\u00edan<\/li>\n<\/ul>\n<h2>Qu\u00e9 significa \u00abefectividad operativa a lo largo del tiempo\u00bb para los controles CI\/CD<\/h2>\n<p>La efectividad operativa requiere demostrar que cada control funcion\u00f3 seg\u00fan lo dise\u00f1ado durante todo el per\u00edodo de examen. Para los controles CI\/CD, esto significa:<\/p>\n<ul>\n<li>Cada despliegue durante el per\u00edodo sigui\u00f3 el proceso de gesti\u00f3n de cambios aprobado<\/li>\n<li>Los controles de acceso se aplicaron de forma consistente sin excepciones no autorizadas<\/li>\n<li>El an\u00e1lisis de seguridad se ejecut\u00f3 en cada compilaci\u00f3n con los umbrales apropiados mantenidos<\/li>\n<li>Las revisiones de acceso se realizaron seg\u00fan el calendario con hallazgos remediados dentro de los plazos definidos<\/li>\n<li>Los procedimientos de respuesta a incidentes se siguieron cuando ocurrieron eventos de seguridad en el pipeline<\/li>\n<\/ul>\n<p>Un \u00fanico control que opera correctamente el 95% del tiempo no opera eficazmente. Los auditores identificar\u00e1n la tasa de fallos del 5% y pueden calificar su opini\u00f3n o reportar excepciones.<\/p>\n<h2>Requisitos de evidencia Type II por \u00e1rea de control<\/h2>\n<table>\n<thead>\n<tr>\n<th>Control<\/th>\n<th>Requisito de evidencia Type II<\/th>\n<th>Formato de evidencia aceptable<\/th>\n<th>Enfoque de muestreo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Aplicaci\u00f3n de revisi\u00f3n de c\u00f3digo<\/td>\n<td>Todos los cambios en producci\u00f3n recibieron revisi\u00f3n por pares durante el per\u00edodo<\/td>\n<td>Registros de solicitudes de fusi\u00f3n generados por el sistema con atribuci\u00f3n de revisores y marcas de tiempo<\/td>\n<td>Muestreo estad\u00edstico de la poblaci\u00f3n total de solicitudes fusionadas<\/td>\n<\/tr>\n<tr>\n<td>Aprobaci\u00f3n de despliegue<\/td>\n<td>Todos los despliegues en producci\u00f3n recibieron aprobaci\u00f3n autorizada<\/td>\n<td>Registros de aprobaci\u00f3n de despliegue con identidad del aprobador, marca de tiempo y decisi\u00f3n de aprobaci\u00f3n<\/td>\n<td>Muestra aleatoria de todo el per\u00edodo de auditor\u00eda, estratificada por mes<\/td>\n<\/tr>\n<tr>\n<td>An\u00e1lisis de seguridad<\/td>\n<td>Todas las compilaciones se sometieron a an\u00e1lisis de seguridad con umbrales de aprobaci\u00f3n\/rechazo definidos<\/td>\n<td>Registros de ejecuci\u00f3n de an\u00e1lisis, historial de configuraci\u00f3n de umbrales, registros de aplicaci\u00f3n de puertas<\/td>\n<td>Muestra de compilaciones m\u00e1s verificaci\u00f3n de que la configuraci\u00f3n de las puertas no cambi\u00f3<\/td>\n<\/tr>\n<tr>\n<td>Revisiones de acceso<\/td>\n<td>Revisiones peri\u00f3dicas realizadas seg\u00fan el calendario con hallazgos remediados<\/td>\n<td>Registros de finalizaci\u00f3n de revisiones de acceso, tickets de remediaci\u00f3n, instant\u00e1neas de acceso antes\/despu\u00e9s<\/td>\n<td>Todos los ciclos de revisi\u00f3n dentro del per\u00edodo examinados<\/td>\n<\/tr>\n<tr>\n<td>Aplicaci\u00f3n de MFA<\/td>\n<td>MFA requerida para todo acceso humano durante el per\u00edodo<\/td>\n<td>Registros de configuraci\u00f3n de pol\u00edtica de autenticaci\u00f3n, informes de inscripci\u00f3n de MFA, registros de excepciones<\/td>\n<td>Auditor\u00eda de configuraci\u00f3n en m\u00faltiples puntos m\u00e1s revisi\u00f3n de registros de excepciones<\/td>\n<\/tr>\n<tr>\n<td>Respuesta a incidentes<\/td>\n<td>Eventos de seguridad del pipeline detectados, evaluados y resueltos seg\u00fan el procedimiento<\/td>\n<td>Tickets de incidentes, cronolog\u00edas de respuesta, revisiones posteriores al incidente, registros de escalada<\/td>\n<td>Todos los incidentes durante el per\u00edodo<\/td>\n<\/tr>\n<tr>\n<td>Segregaci\u00f3n de funciones<\/td>\n<td>Ning\u00fan individuo cre\u00f3 y aprob\u00f3\/despleg\u00f3 el mismo cambio<\/td>\n<td>Registros de despliegue cruzados con registros de autor\u00eda<\/td>\n<td>Muestra estad\u00edstica de la poblaci\u00f3n de despliegues<\/td>\n<\/tr>\n<tr>\n<td>Rotaci\u00f3n de secretos<\/td>\n<td>Credenciales y secretos rotados seg\u00fan el calendario definido<\/td>\n<td>Registros de rotaci\u00f3n, informes de antig\u00fcedad de credenciales, registros de ejecuci\u00f3n de rotaci\u00f3n automatizada<\/td>\n<td>Todos los secretos en el inventario verificados frente al calendario de rotaci\u00f3n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Evidencia del pipeline que demuestra operaci\u00f3n sostenida<\/h2>\n<h3>Registros de aplicaci\u00f3n consistente<\/h3>\n<p>La evidencia m\u00e1s convincente para Type II son los registros generados por el sistema que muestran que los controles se activaron en cada evento relevante a lo largo del per\u00edodo. Los auditores buscan:<\/p>\n<ul>\n<li>Secuencias de registro completas e ininterrumpidas \u2014 sin brechas en la cobertura<\/li>\n<li>Comportamiento de control consistente \u2014 las mismas reglas aplicadas durante todo el per\u00edodo<\/li>\n<li>Aplicaci\u00f3n automatizada en lugar de cumplimiento manual<\/li>\n<\/ul>\n<h3>Cadencia de revisi\u00f3n de acceso<\/h3>\n<p>Las revisiones de acceso trimestrales deben estar documentadas con:<\/p>\n<ul>\n<li>Fecha de la revisi\u00f3n, identidad del revisor y alcance de la revisi\u00f3n<\/li>\n<li>Hallazgos identificados (acceso inapropiado, cuentas obsoletas, permisos excesivos)<\/li>\n<li>Acciones de remediaci\u00f3n tomadas con fechas de finalizaci\u00f3n<\/li>\n<li>Aprobaci\u00f3n del responsable correspondiente<\/li>\n<\/ul>\n<h3>Patrones de aprobaci\u00f3n de cambios<\/h3>\n<p>Los auditores analizan los patrones de aprobaci\u00f3n para verificar:<\/p>\n<ul>\n<li>Las aprobaciones provienen de individuos autorizados (no de cualquier persona con acceso al repositorio)<\/li>\n<li>Las aprobaciones ocurren antes del despliegue (no de forma retroactiva)<\/li>\n<li>La poblaci\u00f3n de aprobadores no muestra concentraci\u00f3n (una persona aprobando todo)<\/li>\n<li>Los cambios de emergencia siguen los procedimientos de emergencia documentados<\/li>\n<\/ul>\n<h3>Tasas de cumplimiento de an\u00e1lisis de seguridad a lo largo del tiempo<\/h3>\n<p>Los datos de tendencia que muestran las tasas de cumplimiento del an\u00e1lisis deben demostrar:<\/p>\n<ul>\n<li>Tasas de ejecuci\u00f3n consistentemente altas (objetivo: 100% de las compilaciones elegibles)<\/li>\n<li>Plazos de remediaci\u00f3n de vulnerabilidades estables o en mejora<\/li>\n<li>Ning\u00fan per\u00edodo en que el an\u00e1lisis fue deshabilitado o los umbrales fueron reducidos<\/li>\n<\/ul>\n<h2>M\u00e9tricas que eval\u00faan los auditores de SOC 2<\/h2>\n<table>\n<thead>\n<tr>\n<th>M\u00e9trica<\/th>\n<th>Lo que indica<\/th>\n<th>Umbral de se\u00f1al de alerta<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Tasa de omisi\u00f3n de aprobaci\u00f3n<\/td>\n<td>Frecuencia de cambios desplegados sin aprobaci\u00f3n requerida<\/td>\n<td>Cualquier omisi\u00f3n sin justificaci\u00f3n de emergencia documentada<\/td>\n<\/tr>\n<tr>\n<td>Tiempo medio de remediaci\u00f3n de vulnerabilidades<\/td>\n<td>Capacidad de respuesta a los problemas de seguridad identificados<\/td>\n<td>Tendencia creciente o incumplimientos consistentes del SLA<\/td>\n<\/tr>\n<tr>\n<td>Tendencias de excepciones de pol\u00edticas<\/td>\n<td>Si las excepciones est\u00e1n aumentando, estables o disminuyendo<\/td>\n<td>Tendencia ascendente o excepciones que se vuelven rutinarias<\/td>\n<\/tr>\n<tr>\n<td>Tasa de finalizaci\u00f3n de revisiones de acceso<\/td>\n<td>Si las revisiones se realizan seg\u00fan el calendario<\/td>\n<td>Revisiones omitidas o completadas con retraso significativo<\/td>\n<\/tr>\n<tr>\n<td>Tasa de anulaci\u00f3n de puertas de seguridad fallidas<\/td>\n<td>Con qu\u00e9 frecuencia se anulan las comprobaciones de seguridad fallidas<\/td>\n<td>Alta tasa de anulaci\u00f3n o anulaciones sin justificaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td>Tasa de violaci\u00f3n de segregaci\u00f3n de funciones<\/td>\n<td>Si la misma persona crea y despliega cambios<\/td>\n<td>Cualquier violaci\u00f3n sin procedimiento de emergencia documentado<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Integridad de la evidencia: generada por el sistema vs. manual<\/h2>\n<p>Los auditores de SOC 2 otorgan significativamente m\u00e1s peso a la evidencia generada por el sistema que a los registros compilados manualmente.<\/p>\n<h3>Jerarqu\u00eda de evidencia (de m\u00e1s fuerte a m\u00e1s d\u00e9bil)<\/h3>\n<ol>\n<li><strong>Registros inmutables generados por el sistema<\/strong> \u2014 producidos autom\u00e1ticamente por la plataforma del pipeline con controles a prueba de manipulaciones<\/li>\n<li><strong>Registros est\u00e1ndar generados por el sistema<\/strong> \u2014 producidos autom\u00e1ticamente pero almacenados en sistemas mutables<\/li>\n<li><strong>Informes automatizados<\/strong> \u2014 compilados autom\u00e1ticamente a partir de datos del sistema de forma programada<\/li>\n<li><strong>Informes compilados manualmente<\/strong> \u2014 creados por personal a partir de datos del sistema<\/li>\n<li><strong>Auto-atestaciones<\/strong> \u2014 declaraciones del personal sin evidencia de sistema de respaldo<\/li>\n<\/ol>\n<p><strong>Resistencia a manipulaciones:<\/strong> La evidencia almacenada en sistemas de escritura \u00fanica o de solo adici\u00f3n tiene m\u00e1s peso. Considere el env\u00edo de registros a almacenamiento inmutable, la firma criptogr\u00e1fica de registros de auditor\u00eda y las pol\u00edticas de retenci\u00f3n que evitan la eliminaci\u00f3n prematura.<\/p>\n<p><strong>Retenci\u00f3n:<\/strong> La evidencia debe conservarse durante al menos el per\u00edodo de auditor\u00eda m\u00e1s un margen razonable. Establecer pol\u00edticas de retenci\u00f3n que cubran el per\u00edodo de examen completo y asegurar que la evidencia sea accesible cuando los auditores la soliciten.<\/p>\n<h2>Fallos comunes de Type II en entornos CI\/CD<\/h2>\n<ul>\n<li><strong>Brecha en la evidencia:<\/strong> El registro fue reconfigurado a mitad del per\u00edodo, creando una brecha donde no existe evidencia<\/li>\n<li><strong>Relajaci\u00f3n de controles:<\/strong> Las puertas de seguridad fueron deshabilitadas temporalmente durante un \u00abper\u00edodo de alta presi\u00f3n\u00bb y existe evidencia de esto en el historial de configuraci\u00f3n<\/li>\n<li><strong>Aplicaci\u00f3n inconsistente:<\/strong> Algunos repositorios o equipos estaban exentos de controles sin documentaci\u00f3n formal de excepci\u00f3n<\/li>\n<li><strong>Aprobaciones retroactivas:<\/strong> Los despliegues fueron aprobados despu\u00e9s del hecho, como evidencia el an\u00e1lisis de marcas de tiempo<\/li>\n<li><strong>Deficiencias en la revisi\u00f3n de acceso:<\/strong> Se realizaron revisiones pero los hallazgos no se remediaron dentro del plazo definido<\/li>\n<li><strong>Documentaci\u00f3n de cambios de emergencia faltante:<\/strong> Se produjeron omisiones pero no se documentaron como cambios de emergencia con justificaci\u00f3n adecuada<\/li>\n<\/ul>\n<h2>Prepar\u00e1ndose para el per\u00edodo de auditor\u00eda: qu\u00e9 comenzar a recopilar ahora<\/h2>\n<p>Si el per\u00edodo de examen Type II a\u00fan no ha comenzado, utilice el tiempo de preparaci\u00f3n para:<\/p>\n<ol>\n<li><strong>Validar la integridad del registro:<\/strong> Confirmar que cada control en el alcance produce evidencia generada por el sistema<\/li>\n<li><strong>Probar la recuperaci\u00f3n de evidencia:<\/strong> Asegurar que puede extraer y presentar evidencia eficientemente para cualquier control en cualquier punto del per\u00edodo<\/li>\n<li><strong>Establecer l\u00edneas base:<\/strong> Documentar los valores actuales de las m\u00e9tricas para poder demostrar mejora o estabilidad durante el per\u00edodo<\/li>\n<li><strong>Formalizar los procesos de excepci\u00f3n:<\/strong> Asegurar que cada posible omisi\u00f3n de control tenga un procedimiento de excepci\u00f3n documentado con requisitos de aprobaci\u00f3n<\/li>\n<li><strong>Formar a los equipos:<\/strong> Asegurar que todo el personal comprenda que el per\u00edodo de auditor\u00eda requiere operaci\u00f3n de control consistente \u2014 no solo buenas intenciones<\/li>\n<li><strong>Realizar una prueba de campo:<\/strong> Realizar una evaluaci\u00f3n interna utilizando la misma metodolog\u00eda de muestreo que utilizar\u00e1n los auditores<\/li>\n<\/ol>\n<h2>Recursos relacionados<\/h2>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/soc-2\/\">SOC 2 Compliance Hub<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/before-the-auditor-arrives-ci-cd-audit-readiness-checklist\/\">Before the Auditor Arrives \u2014 CI\/CD Audit Readiness Checklist<\/a><\/li>\n<\/ul>\n<hr\/>\n<h3>Relacionado para auditores<\/h3>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/\">Glosario<\/a> \u2014 Definiciones en lenguaje sencillo de t\u00e9rminos t\u00e9cnicos<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/continuous-compliance-via-ci-cd\/\">Continuous Compliance via CI\/CD<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/before-the-auditor-arrives-ci-cd-audit-readiness-checklist\/\">Audit Readiness Checklist<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/executive-audit-briefing-ci-cd-pipelines-in-regulated-environments\/\">Executive Audit Briefing<\/a><\/li>\n<\/ul>\n<p><em>\u00bfNuevo en la auditor\u00eda CI\/CD? Comience con nuestra <a href=\"https:\/\/regulated-devsecops.com\/es\/por-donde-empezar\/\">Gu\u00eda para Auditores<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>SOC 2 Type II eval\u00faa si los controles operaron eficazmente durante un per\u00edodo definido. Esta gu\u00eda explica los requisitos de evidencia sostenida espec\u00edficos para entornos CI\/CD.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,135],"tags":[],"post_folder":[],"class_list":["post-2023","post","type-post","status-publish","format-standard","hentry","category-audit-evidence-es","category-regulatory-frameworks-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/2023","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=2023"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/2023\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=2023"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=2023"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=2023"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=2023"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}