{"id":2046,"date":"2026-01-05T18:58:53","date_gmt":"2026-01-05T17:58:53","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-articulo-21-en-profundidad-aplicacion-de-controles-de-riesgo-ict-a-traves-de-ci-cd\/"},"modified":"2026-03-26T09:35:00","modified_gmt":"2026-03-26T08:35:00","slug":"dora-article-21-deep-dive-enforcing-ict-risk-controls-via-ci-cd","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-21-deep-dive-enforcing-ict-risk-controls-via-ci-cd\/","title":{"rendered":"DORA Art\u00edculo 21 en Profundidad: Aplicaci\u00f3n de Controles de Riesgo ICT a trav\u00e9s de CI\/CD"},"content":{"rendered":"\n<p>El Art\u00edculo 21 del Reglamento de Resiliencia Operativa Digital (DORA) define los <strong>requisitos fundamentales de gesti\u00f3n de riesgos ICT<\/strong> aplicables a las entidades financieras que operan dentro de la Uni\u00f3n Europea. A diferencia de las obligaciones de gobernanza de alto nivel, el Art\u00edculo 21 se centra en <strong>controles t\u00e9cnicos y organizativos concretos<\/strong> que deben implementarse, monitorearse y evidenciarse de forma continua.<\/p>\n\n\n\n<p>Este art\u00edculo proporciona un an\u00e1lisis t\u00e9cnico profundo de los requisitos del Art\u00edculo 21 y explica c\u00f3mo los pipelines CI\/CD pueden actuar como puntos de aplicaci\u00f3n para la resiliencia operativa, los controles de seguridad y el cumplimiento continuo.<\/p>\n\n\n\n<!-- GeneratePress Inline SVG \u2013 Regulated DevSecOps -->\n<figure class=\"gp-rds-diagram\">\n<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 1200 420\" role=\"img\" aria-labelledby=\"title desc\" data-theme=\"light\">\n  <title id=\"title\">DORA Compliance Architecture \u2013 CI\/CD as Regulated System<\/title>\n  <desc id=\"desc\">Architecture diagram showing how CI\/CD pipelines enforce DORA Article 21 ICT risk management controls and generate continuous compliance evidence.<\/desc>\n\n  <style>\n    :root{\n      --bg:transparent;\n      --text:#0f172a;\n      --muted:#475569;\n      --stroke:#cbd5e1;\n      --card:#ffffff;\n      --accent:#2563eb;\n      --accentSoft:#dbeafe;\n    }\n\n    .txt{font-family:ui-sans-serif,system-ui,-apple-system,Segoe UI,Roboto,Arial;}\n    .title{font-weight:700;font-size:22px;fill:var(--text);}\n    .sub{font-size:14px;fill:var(--muted);}\n    .label{font-weight:600;font-size:14px;fill:var(--text);}\n    .small{font-size:12px;fill:var(--muted);}\n\n    .card{fill:var(--card);stroke:var(--stroke);stroke-width:1.5;rx:14;}\n    .chip{fill:transparent;stroke:var(--stroke);stroke-width:1.5;rx:6;}\n    .chipText{font-weight:600;font-size:12px;fill:var(--text);}\n    .flow{fill:none;stroke:var(--stroke);stroke-width:2.5;stroke-linecap:round;}\n    .arrow{marker-end:url(#arrow);}\n\n    .band{fill:transparent;stroke:var(--stroke);stroke-width:1.5;rx:18;stroke-dasharray:6 6;}\n    .bandText{font-weight:700;font-size:12px;fill:var(--muted);letter-spacing:.04em;}\n\n    .hl .chip{stroke:var(--accent);fill:var(--accentSoft);}\n    .hl .card{stroke:var(--accent);}\n  <\/style>\n\n  <defs>\n    <marker id=\"arrow\" viewBox=\"0 0 10 10\" refX=\"9\" refY=\"5\" markerWidth=\"7\" markerHeight=\"7\" orient=\"auto\">\n      <path d=\"M0 0 L10 5 L0 10 Z\" fill=\"var(--stroke)\"\/>\n    <\/marker>\n  <\/defs>\n\n  <!-- Header -->\n  <text class=\"txt title\" x=\"40\" y=\"44\">DORA Compliance Architecture<\/text>\n  <text class=\"txt sub\" x=\"40\" y=\"70\">Article 21 \u00b7 CI\/CD as Regulated ICT System<\/text>\n\n  <!-- Cross-cutting evidence -->\n  <rect class=\"band\" x=\"40\" y=\"320\" width=\"1120\" height=\"70\"\/>\n  <text class=\"txt bandText\" x=\"60\" y=\"345\">CONTINUOUS COMPLIANCE EVIDENCE<\/text>\n\n  <g transform=\"translate(60,356)\">\n    <rect class=\"chip\" width=\"160\" height=\"28\"\/>\n    <text class=\"txt chipText\" x=\"80\" y=\"19\" text-anchor=\"middle\">Audit logs<\/text>\n  <\/g>\n  <g transform=\"translate(240,356)\">\n    <rect class=\"chip\" width=\"180\" height=\"28\"\/>\n    <text class=\"txt chipText\" x=\"90\" y=\"19\" text-anchor=\"middle\">Approvals &amp; SoD<\/text>\n  <\/g>\n  <g transform=\"translate(440,356)\">\n    <rect class=\"chip\" width=\"220\" height=\"28\"\/>\n    <text class=\"txt chipText\" x=\"110\" y=\"19\" text-anchor=\"middle\">Artifact provenance<\/text>\n  <\/g>\n  <g transform=\"translate(680,356)\">\n    <rect class=\"chip\" width=\"200\" height=\"28\"\/>\n    <text class=\"txt chipText\" x=\"100\" y=\"19\" text-anchor=\"middle\">Monitoring events<\/text>\n  <\/g>\n  <g transform=\"translate(900,356)\">\n    <rect class=\"chip\" width=\"240\" height=\"28\"\/>\n    <text class=\"txt chipText\" x=\"120\" y=\"19\" text-anchor=\"middle\">Retention &amp; reporting<\/text>\n  <\/g>\n\n  <!-- Governance -->\n  <g transform=\"translate(40,110)\">\n    <rect class=\"card\" width=\"240\" height=\"180\"\/>\n    <text class=\"txt label\" x=\"18\" y=\"34\">DORA Governance<\/text>\n    <text class=\"txt small\" x=\"18\" y=\"58\">ICT Risk Management<\/text>\n\n    <g transform=\"translate(18,82)\">\n      <rect class=\"chip\" width=\"204\" height=\"28\"\/>\n      <text class=\"txt chipText\" x=\"102\" y=\"19\" text-anchor=\"middle\">Risk identification<\/text>\n    <\/g>\n    <g transform=\"translate(18,114)\">\n      <rect class=\"chip\" width=\"204\" height=\"28\"\/>\n      <text class=\"txt chipText\" x=\"102\" y=\"19\" text-anchor=\"middle\">Policies &amp; oversight<\/text>\n    <\/g>\n  <\/g>\n\n  <!-- CI\/CD -->\n  <g class=\"hl\" transform=\"translate(320,110)\">\n    <rect class=\"card\" width=\"320\" height=\"180\"\/>\n    <text class=\"txt label\" x=\"18\" y=\"34\">CI\/CD Pipeline<\/text>\n    <text class=\"txt small\" x=\"18\" y=\"58\">DORA Article 21 Enforcement<\/text>\n\n    <g transform=\"translate(18,82)\">\n      <rect class=\"chip\" width=\"284\" height=\"28\"\/>\n      <text class=\"txt chipText\" x=\"142\" y=\"19\" text-anchor=\"middle\">Access control &amp; segregation of duties<\/text>\n    <\/g>\n    <g transform=\"translate(18,114)\">\n      <rect class=\"chip\" width=\"284\" height=\"28\"\/>\n      <text class=\"txt chipText\" x=\"142\" y=\"19\" text-anchor=\"middle\">Change approval &amp; policy gates<\/text>\n    <\/g>\n    <g transform=\"translate(18,146)\">\n      <rect class=\"chip\" width=\"284\" height=\"28\"\/>\n      <text class=\"txt chipText\" x=\"142\" y=\"19\" text-anchor=\"middle\">Security testing &amp; integrity checks<\/text>\n    <\/g>\n  <\/g>\n\n  <!-- Operations -->\n  <g transform=\"translate(700,110)\">\n    <rect class=\"card\" width=\"260\" height=\"180\"\/>\n    <text class=\"txt label\" x=\"18\" y=\"34\">Production &amp; Operations<\/text>\n    <text class=\"txt small\" x=\"18\" y=\"58\">Operational Resilience<\/text>\n\n    <g transform=\"translate(18,82)\">\n      <rect class=\"chip\" width=\"224\" height=\"28\"\/>\n      <text class=\"txt chipText\" x=\"112\" y=\"19\" text-anchor=\"middle\">Runtime monitoring<\/text>\n    <\/g>\n    <g transform=\"translate(18,114)\">\n      <rect class=\"chip\" width=\"224\" height=\"28\"\/>\n      <text class=\"txt chipText\" x=\"112\" y=\"19\" text-anchor=\"middle\">Incident response<\/text>\n    <\/g>\n  <\/g>\n\n  <!-- Flows -->\n  <path class=\"flow arrow\" d=\"M280 200 L320 200\"\/>\n  <path class=\"flow arrow\" d=\"M640 200 L700 200\"\/>\n<\/svg>\n\n  <figcaption class=\"gp-rds-caption\">\n    C\u00f3mo los pipelines CI\/CD aplican los controles de gesti\u00f3n de riesgos ICT del Art\u00edculo 21 de DORA y generan evidencia de cumplimiento continuo.\n  <\/figcaption>\n<\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Comprensi\u00f3n del Alcance del Art\u00edculo 21 de DORA<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 21 exige a las entidades financieras establecer, implementar y mantener un marco integral de gesti\u00f3n de riesgos ICT. Este marco debe garantizar la <strong>confidencialidad, integridad, disponibilidad y autenticidad<\/strong> de los sistemas ICT que respaldan funciones cr\u00edticas o importantes.<\/p>\n\n\n\n<p>Los pipelines CI\/CD entran dentro de este \u00e1mbito porque influyen directamente en:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>el comportamiento de los sistemas de producci\u00f3n<\/li>\n\n\n\n<li>la frecuencia y estabilidad de las implementaciones<\/li>\n\n\n\n<li>la integridad de la cadena de suministro de software<\/li>\n\n\n\n<li>el acceso privilegiado a infraestructuras y aplicaciones<\/li>\n<\/ul>\n\n\n\n<p>Como resultado, los pipelines CI\/CD deben ser gobernados y controlados como sistemas ICT regulados.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(1): Marco de Gesti\u00f3n de Riesgos ICT y CI\/CD<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 21(1) exige un marco estructurado de gesti\u00f3n de riesgos ICT que cubra identificaci\u00f3n, protecci\u00f3n, prevenci\u00f3n, detecci\u00f3n, respuesta y recuperaci\u00f3n.<\/p>\n\n\n\n<p>Los pipelines CI\/CD apoyan este requisito mediante:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>identificaci\u00f3n de riesgos a trav\u00e9s de pruebas de seguridad automatizadas<\/li>\n\n\n\n<li>prevenci\u00f3n de riesgos mediante la aplicaci\u00f3n de pol\u00edticas y puertas de aprobaci\u00f3n<\/li>\n\n\n\n<li>detecci\u00f3n de anomal\u00edas a trav\u00e9s del monitoreo del pipeline<\/li>\n\n\n\n<li>apoyo a la respuesta mediante mecanismos de reversi\u00f3n trazables<\/li>\n\n\n\n<li>habilitaci\u00f3n de la recuperaci\u00f3n a trav\u00e9s de procesos de implementaci\u00f3n controlados<\/li>\n<\/ul>\n\n\n\n<p>Incorporar estos mecanismos en los flujos de trabajo de CI\/CD garantiza que la gesti\u00f3n de riesgos ICT sea operativa en lugar de te\u00f3rica.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(a): Control de Acceso y Operaciones Privilegiadas<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 21(2)(a) requiere mecanismos de control de acceso apropiados para proteger los sistemas ICT del acceso no autorizado.<\/p>\n\n\n\n<p>En el contexto de CI\/CD, esto se traduce en:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>separaci\u00f3n estricta entre usuarios humanos e identidades del pipeline<\/li>\n\n\n\n<li>aplicaci\u00f3n del m\u00ednimo privilegio para las cuentas de servicio CI\/CD<\/li>\n\n\n\n<li>control de acceso basado en roles para la configuraci\u00f3n del pipeline<\/li>\n\n\n\n<li>MFA obligatorio para los administradores<\/li>\n<\/ul>\n\n\n\n<p>No asegurar las rutas de acceso CI\/CD expone a las organizaciones a riesgos sist\u00e9micos, ya que los pipelines a menudo tienen privilegios elevados en m\u00faltiples entornos.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(b): Segregaci\u00f3n de Funciones y Gobernanza<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 21 enfatiza la segregaci\u00f3n de funciones para reducir el riesgo de cambios no autorizados o no revisados.<\/p>\n\n\n\n<p>Los pipelines CI\/CD aplican la segregaci\u00f3n de funciones mediante:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>la exigencia de revisi\u00f3n de c\u00f3digo independiente antes de la ejecuci\u00f3n del pipeline<\/li>\n\n\n\n<li>la separaci\u00f3n de los permisos de compilaci\u00f3n, validaci\u00f3n e implementaci\u00f3n<\/li>\n\n\n\n<li>la aplicaci\u00f3n de flujos de trabajo de aprobaci\u00f3n para lanzamientos sensibles<\/li>\n\n\n\n<li>el registro de todas las anulaciones y excepciones<\/li>\n<\/ul>\n\n\n\n<p>La segregaci\u00f3n automatizada dentro de los pipelines proporciona garant\u00edas m\u00e1s s\u00f3lidas que los controles manuales.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(c): Registro, Monitoreo y Detecci\u00f3n<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 21 requiere capacidades de monitoreo y detecci\u00f3n continuas para identificar incidentes relacionados con ICT.<\/p>\n\n\n\n<p>Los pipelines CI\/CD contribuyen mediante:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>el registro de todas las ejecuciones del pipeline y los cambios de configuraci\u00f3n<\/li>\n\n\n\n<li>el registro de los resultados de los an\u00e1lisis de seguridad y las decisiones de aprobaci\u00f3n<\/li>\n\n\n\n<li>la emisi\u00f3n de alertas ante comportamientos an\u00f3malos o controles fallidos<\/li>\n\n\n\n<li>la integraci\u00f3n con sistemas de monitoreo centralizados y SIEM<\/li>\n<\/ul>\n\n\n\n<p>Estos registros forman una parte cr\u00edtica de los procesos de detecci\u00f3n e investigaci\u00f3n conformes con DORA.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(d): Gesti\u00f3n de Cambios e Integridad del Sistema<\/strong><\/h2>\n\n\n\n<p>La gesti\u00f3n de cambios es un componente central del Art\u00edculo 21. Los pipelines CI\/CD implementan directamente procesos de cambio controlados.<\/p>\n\n\n\n<p>Los mecanismos de aplicaci\u00f3n clave incluyen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>aprobaci\u00f3n obligatoria de cambios mediante puertas del pipeline<\/li>\n\n\n\n<li>validaci\u00f3n y firma de la integridad de artefactos<\/li>\n\n\n\n<li>trazabilidad entre c\u00f3digo fuente, ejecuci\u00f3n del pipeline y artefacto implementado<\/li>\n\n\n\n<li>prevenci\u00f3n de implementaciones fuera de banda<\/li>\n<\/ul>\n\n\n\n<p>Estos controles garantizan que solo los cambios autorizados y verificados lleguen a los sistemas de producci\u00f3n.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Art\u00edculo 21(2)(e): Resiliencia, Copias de Seguridad y Recuperaci\u00f3n<\/strong><\/h2>\n\n\n\n<p>La resiliencia operativa es un objetivo central de DORA. Los pipelines CI\/CD no deben convertirse en puntos \u00fanicos de fallo.<\/p>\n\n\n\n<p>El dise\u00f1o resiliente del pipeline incluye:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>entornos de compilaci\u00f3n reforzados y aislados<\/li>\n\n\n\n<li>redundancia para los componentes cr\u00edticos de CI\/CD<\/li>\n\n\n\n<li>mecanismos de reversi\u00f3n y reimplementaci\u00f3n probados<\/li>\n\n\n\n<li>copia de seguridad segura de la configuraci\u00f3n del pipeline y los artefactos<\/li>\n<\/ul>\n\n\n\n<p>Los pipelines CI\/CD que fallan de forma controlada y se recuperan r\u00e1pidamente apoyan los objetivos m\u00e1s amplios de resiliencia ICT.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Generaci\u00f3n Continua de Evidencias para el Cumplimiento del Art\u00edculo 21<\/strong><\/h2>\n\n\n\n<p>Una de las ventajas m\u00e1s significativas del cumplimiento basado en CI\/CD es la generaci\u00f3n continua de evidencias.<\/p>\n\n\n\n<p>Los pipelines CI\/CD producen de forma natural:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>registros de acceso y registros de aprobaci\u00f3n<\/li>\n\n\n\n<li>resultados de pruebas de seguridad<\/li>\n\n\n\n<li>metadatos de procedencia de artefactos<\/li>\n\n\n\n<li>historiales de implementaci\u00f3n<\/li>\n<\/ul>\n\n\n\n<p>Esta evidencia apoya directamente las expectativas de auditor\u00eda del Art\u00edculo 21 al demostrar que los controles se aplican de forma consistente y continua.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Brechas Comunes Observadas Durante las Evaluaciones DORA<\/strong><\/h2>\n\n\n\n<p>Las organizaciones a menudo subestiman la relevancia de CI\/CD durante los esfuerzos de preparaci\u00f3n para DORA. Las brechas comunes incluyen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>tratar los pipelines como herramientas no reguladas<\/li>\n\n\n\n<li>privilegios excesivos otorgados a la automatizaci\u00f3n<\/li>\n\n\n\n<li>falta de procedencia de artefactos<\/li>\n\n\n\n<li>retenci\u00f3n de registros insuficiente<\/li>\n\n\n\n<li>excepciones y anulaciones no documentadas<\/li>\n<\/ul>\n\n\n\n<p>Abordar estas brechas de forma temprana reduce significativamente el riesgo regulatorio y operativo.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Conclusi\u00f3n<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 21 de DORA establece una expectativa clara: la gesti\u00f3n de riesgos ICT debe estar <strong>integrada, ser continua y estar aplicada t\u00e9cnicamente<\/strong>. Los pipelines CI\/CD, como habilitadores centrales de la entrega de software, son esenciales para cumplir con este requisito.<\/p>\n\n\n\n<p>Al alinear el dise\u00f1o del pipeline CI\/CD con los controles del Art\u00edculo 21, las instituciones financieras pueden demostrar resiliencia operativa, reducir el riesgo sist\u00e9mico y proporcionar a los reguladores evidencia concreta y auditable del cumplimiento normativo.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Recursos Relacionados<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/ci-cd-security\/continuous-compliance-via-ci-cd-under-dora\/\" data-type=\"post\" data-id=\"250\">Cumplimiento Continuo a trav\u00e9s de CI\/CD bajo DORA<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/ci-cd-security-audit-compliance-mapping-iso-27001-soc-2-dora\/\" data-type=\"post\" data-id=\"235\">Auditor\u00eda de Seguridad CI\/CD \u2014 Mapeo ISO 27001 \/ SOC 2 \/ DORA<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-compliance-architecture-ci-cd-as-a-regulated-ict-system\/\" data-type=\"post\" data-id=\"274\">Arquitectura de Cumplimiento DORA<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/compliance\/\" data-type=\"page\" data-id=\"17\">Cumplimiento Normativo<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/ci-cd-security\/\" data-type=\"page\" data-id=\"11\">Seguridad CI\/CD<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--audit\"\r\n             dir=\"ltr\" lang=\"es\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Contexto \u201caudit-ready\u201d<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Contenido pensado para entornos regulados: controles antes que herramientas, enforcement en CI\/CD y evidencia por dise\u00f1o para auditor\u00edas.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Enfoque en trazabilidad, aprobaciones, gobernanza de excepciones y retenci\u00f3n de evidencia de extremo a extremo.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/es\/es\/about\/\">Ver la metodolog\u00eda en la p\u00e1gina About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>An\u00e1lisis t\u00e9cnico profundo del Art\u00edculo 21 de DORA y c\u00f3mo los pipelines CI\/CD pueden actuar como puntos de aplicaci\u00f3n para la resiliencia operativa, los controles de seguridad y el cumplimiento continuo.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135,132],"tags":[],"post_folder":[],"class_list":["post-2046","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks-es","category-ci-cd-governance-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/2046","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=2046"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/2046\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=2046"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=2046"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=2046"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=2046"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}