{"id":2056,"date":"2026-03-04T08:36:27","date_gmt":"2026-03-04T07:36:27","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-articulo-28-lista-de-verificacion-para-auditores-perspectivas-del-ingeniero-y-del-auditor\/"},"modified":"2026-03-26T09:35:45","modified_gmt":"2026-03-26T08:35:45","slug":"dora-article-28-auditor-checklist","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-28-auditor-checklist\/","title":{"rendered":"DORA Art\u00edculo 28 \u2014 Lista de Verificaci\u00f3n para Auditores (Perspectivas del Ingeniero y del Auditor)"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Introducci\u00f3n<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Esta lista de verificaci\u00f3n est\u00e1 dise\u00f1ada para revisiones formales de auditor\u00eda de la gesti\u00f3n de riesgos ICT de terceros bajo el Art\u00edculo 28 de DORA. Sirve a dos audiencias simult\u00e1neamente:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Los auditores<\/strong> la utilizan para verificar controles, evaluar evidencia e identificar brechas.<\/li>\n\n\n\n<li><strong>Los ingenieros<\/strong> la utilizan para entender qu\u00e9 debe implementarse y d\u00f3nde ocurren las brechas comunes.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Cada secci\u00f3n cubre un dominio espec\u00edfico del Art\u00edculo 28 con: la lista de verificaci\u00f3n formal de auditor\u00eda (S\u00ed \/ No \/ Evidencia), las expectativas de implementaci\u00f3n correspondientes para el ingeniero, y las brechas comunes que t\u00edpicamente emergen durante las auditor\u00edas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">1. Inventario de Terceros ICT<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Lista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Control<\/th><th class=\"has-text-align-center\" data-align=\"center\">S\u00ed<\/th><th class=\"has-text-align-center\" data-align=\"center\">No<\/th><th>Evidencia<\/th><\/tr><\/thead><tbody><tr><td>Existe un inventario completo de proveedores ICT de terceros<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registro de proveedores<\/td><\/tr><tr><td>Las plataformas CI\/CD est\u00e1n incluidas como proveedores ICT<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Extracto del inventario de proveedores<\/td><\/tr><tr><td>Los proveedores de servicios en la nube est\u00e1n incluidos<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Inventario de proveedores<\/td><\/tr><tr><td>Los registros de artefactos y ecosistemas de paquetes est\u00e1n listados<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Mapeo de proveedores<\/td><\/tr><tr><td>El inventario se revisa y actualiza peri\u00f3dicamente<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de revisi\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Implementaci\u00f3n del Ingeniero<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>El auditor verifica<\/th><th>El ingeniero implementa<\/th><\/tr><\/thead><tbody><tr><td>Inventario completo de proveedores ICT de terceros<\/td><td>CMDB o registro de proveedores incluyendo CI\/CD, Git, nube, registros<\/td><\/tr><tr><td>Clasificaci\u00f3n de proveedores por criticidad<\/td><td>Etiquetas de criticidad vinculadas a los sistemas de entrega<\/td><\/tr><tr><td>Alineaci\u00f3n con los servicios de negocio<\/td><td>Mapeo pipelines \u2192 servicios \u2192 proveedores<\/td><\/tr><tr><td>Inventario mantenido actualizado<\/td><td>Actualizaciones automatizadas o por proceso vinculadas al uso de herramientas<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Brecha com\u00fan:<\/strong> Las herramientas CI\/CD SaaS no est\u00e1n listadas como proveedores.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Clasificaci\u00f3n de Criticidad<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Lista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Control<\/th><th class=\"has-text-align-center\" data-align=\"center\">S\u00ed<\/th><th class=\"has-text-align-center\" data-align=\"center\">No<\/th><th>Evidencia<\/th><\/tr><\/thead><tbody><tr><td>Los proveedores ICT est\u00e1n clasificados por criticidad<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Metodolog\u00eda de clasificaci\u00f3n<\/td><\/tr><tr><td>Los criterios de clasificaci\u00f3n est\u00e1n documentados<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Marco de riesgo<\/td><\/tr><tr><td>Los proveedores cr\u00edticos est\u00e1n expl\u00edcitamente identificados<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Lista de proveedores<\/td><\/tr><tr><td>Las herramientas CI\/CD que soportan funciones cr\u00edticas est\u00e1n clasificadas correspondientemente<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Documento de mapeo<\/td><\/tr><tr><td>La clasificaci\u00f3n impacta en los requisitos de gobernanza<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Mapeo de controles<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">3. Diligencia Debida Pre-Contractual<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Lista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Control<\/th><th class=\"has-text-align-center\" data-align=\"center\">S\u00ed<\/th><th class=\"has-text-align-center\" data-align=\"center\">No<\/th><th>Evidencia<\/th><\/tr><\/thead><tbody><tr><td>Se realiza diligencia debida de seguridad antes de la incorporaci\u00f3n<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Informes de diligencia debida<\/td><\/tr><tr><td>La evaluaci\u00f3n de riesgos cubre riesgos ICT y operacionales<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Evaluaci\u00f3n de riesgos<\/td><\/tr><tr><td>El uso de subprocesadores se eval\u00faa<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Divulgaciones del proveedor<\/td><\/tr><tr><td>Los resultados de la diligencia debida est\u00e1n documentados<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de revisi\u00f3n<\/td><\/tr><tr><td>Se requiere aprobaci\u00f3n antes de la incorporaci\u00f3n<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Flujo de trabajo de aprobaci\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">4. Salvaguardas Contractuales<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Lista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Control<\/th><th class=\"has-text-align-center\" data-align=\"center\">S\u00ed<\/th><th class=\"has-text-align-center\" data-align=\"center\">No<\/th><th>Evidencia<\/th><\/tr><\/thead><tbody><tr><td>Los contratos incluyen requisitos de seguridad de la informaci\u00f3n<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Cl\u00e1usulas del contrato<\/td><\/tr><tr><td>Los derechos de auditor\u00eda e inspecci\u00f3n est\u00e1n definidos<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Extractos del contrato<\/td><\/tr><tr><td>Las obligaciones de notificaci\u00f3n de incidentes est\u00e1n definidas<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Cl\u00e1usulas de SLA<\/td><\/tr><tr><td>Los requisitos de retenci\u00f3n de evidencia est\u00e1n incluidos<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>T\u00e9rminos del contrato<\/td><\/tr><tr><td>Las cl\u00e1usulas de salida y terminaci\u00f3n est\u00e1n definidas<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Cl\u00e1usulas del contrato<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Implementaci\u00f3n del Ingeniero<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>El auditor verifica<\/th><th>El ingeniero implementa<\/th><\/tr><\/thead><tbody><tr><td>Derechos de auditor\u00eda definidos en contratos<\/td><td>Plataformas capaces de acceso de auditor\u00eda de solo lectura<\/td><\/tr><tr><td>Obligaciones de notificaci\u00f3n de incidentes<\/td><td>Pipelines de monitorizaci\u00f3n y alertas conectados a flujos de trabajo de incidentes<\/td><\/tr><tr><td>Compromisos de retenci\u00f3n de evidencia<\/td><td>Retenci\u00f3n de registros y artefactos configurada para cumplir la duraci\u00f3n del contrato<\/td><\/tr><tr><td>Visibilidad de subprocesadores<\/td><td>Cadenas de dependencia SaaS documentadas<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Brecha com\u00fan:<\/strong> Los contratos existen pero las herramientas no pueden t\u00e9cnicamente soportar las auditor\u00edas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">5. Control de Acceso y Segregaci\u00f3n de Funciones<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Lista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Control<\/th><th class=\"has-text-align-center\" data-align=\"center\">S\u00ed<\/th><th class=\"has-text-align-center\" data-align=\"center\">No<\/th><th>Evidencia<\/th><\/tr><\/thead><tbody><tr><td>El acceso a plataformas de terceros est\u00e1 basado en roles<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Configuraci\u00f3n IAM<\/td><\/tr><tr><td>La segregaci\u00f3n de funciones est\u00e1 aplicada<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Matriz de acceso<\/td><\/tr><tr><td>El acceso privilegiado est\u00e1 restringido y monitorizado<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de acceso<\/td><\/tr><tr><td>Las revisiones de acceso se realizan peri\u00f3dicamente<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de revisi\u00f3n<\/td><\/tr><tr><td>La revocaci\u00f3n de acceso est\u00e1 documentada<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de baja<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Implementaci\u00f3n del Ingeniero<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>El auditor verifica<\/th><th>El ingeniero implementa<\/th><\/tr><\/thead><tbody><tr><td>Separaci\u00f3n de roles aplicada<\/td><td>Roles IAM para dev, aprobador, operador<\/td><\/tr><tr><td>Sin control de extremo a extremo por una sola persona<\/td><td>Protecci\u00f3n de ramas + flujos de trabajo de aprobaci\u00f3n<\/td><\/tr><tr><td>Revisiones de acceso realizadas<\/td><td>Revisiones peri\u00f3dicas de acceso soportadas por registros<\/td><\/tr><tr><td>M\u00ednimo privilegio aplicado<\/td><td>Alcances de tokens, permisos de runners, separaci\u00f3n de entornos<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Brecha com\u00fan:<\/strong> Acceso de administraci\u00f3n compartido entre roles CI\/CD.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Controles de Aplicaci\u00f3n CI\/CD<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Lista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Control<\/th><th class=\"has-text-align-center\" data-align=\"center\">S\u00ed<\/th><th class=\"has-text-align-center\" data-align=\"center\">No<\/th><th>Evidencia<\/th><\/tr><\/thead><tbody><tr><td>Los pipelines CI\/CD aplican puertas de aprobaci\u00f3n<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Configuraci\u00f3n del pipeline<\/td><\/tr><tr><td>Los controles de seguridad no pueden eludirse<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Definiciones de pol\u00edtica<\/td><\/tr><tr><td>Los runners CI\/CD de terceros est\u00e1n gobernados<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Configuraci\u00f3n del runner<\/td><\/tr><tr><td>La integridad de los artefactos est\u00e1 protegida<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>SBOM \/ informes de firma<\/td><\/tr><tr><td>Los cambios del pipeline se registran<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de auditor\u00eda<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Implementaci\u00f3n del Ingeniero<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>El auditor verifica<\/th><th>El ingeniero implementa<\/th><\/tr><\/thead><tbody><tr><td>Controles aplicados autom\u00e1ticamente<\/td><td>Pol\u00edtica como c\u00f3digo en los pipelines<\/td><\/tr><tr><td>Sin evasi\u00f3n de aprobaciones<\/td><td>Puertas obligatorias para lanzamiento y despliegue<\/td><\/tr><tr><td>Integridad de artefactos garantizada<\/td><td>Generaci\u00f3n de SBOM, firma, verificaci\u00f3n<\/td><\/tr><tr><td>Herramientas de terceros gobernadas<\/td><td>Im\u00e1genes de runner aprobadas, plugins restringidos<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Brecha com\u00fan:<\/strong> Controles aplicados \u00abpor convenci\u00f3n\u00bb, no t\u00e9cnicamente.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">7. Monitorizaci\u00f3n y Gesti\u00f3n de Incidentes<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Lista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Control<\/th><th class=\"has-text-align-center\" data-align=\"center\">S\u00ed<\/th><th class=\"has-text-align-center\" data-align=\"center\">No<\/th><th>Evidencia<\/th><\/tr><\/thead><tbody><tr><td>Los servicios de terceros se monitorizan continuamente<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Paneles de monitorizaci\u00f3n<\/td><\/tr><tr><td>Los incidentes de seguridad se detectan<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de alertas<\/td><\/tr><tr><td>Los incidentes que involucran proveedores ICT se rastrean<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Tickets de incidentes<\/td><\/tr><tr><td>Los plazos de notificaci\u00f3n de incidentes se respetan<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de incidentes<\/td><\/tr><tr><td>Los postmortems de incidentes est\u00e1n documentados<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Informes RCA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Implementaci\u00f3n del Ingeniero<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>El auditor verifica<\/th><th>El ingeniero implementa<\/th><\/tr><\/thead><tbody><tr><td>Monitorizaci\u00f3n continua de proveedores<\/td><td>Registros CI\/CD, de registro y de nube recopilados<\/td><\/tr><tr><td>Capacidad de detecci\u00f3n de incidentes<\/td><td>Alertas vinculadas a servicios de terceros<\/td><\/tr><tr><td>Trazabilidad de incidentes<\/td><td>Tickets vinculados a registros, pipelines, artefactos<\/td><\/tr><tr><td>Evidencia de incidentes pasados<\/td><td>Registros conservados, l\u00edneas de tiempo, documentaci\u00f3n RCA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Brecha com\u00fan:<\/strong> Los registros existen pero no est\u00e1n centralizados ni conservados.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">8. Gobernanza de Subprocesadores<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Lista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Control<\/th><th class=\"has-text-align-center\" data-align=\"center\">S\u00ed<\/th><th class=\"has-text-align-center\" data-align=\"center\">No<\/th><th>Evidencia<\/th><\/tr><\/thead><tbody><tr><td>Existe visibilidad sobre los subcontratistas<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Divulgaciones del proveedor<\/td><\/tr><tr><td>Los subprocesadores est\u00e1n aprobados<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de aprobaci\u00f3n<\/td><\/tr><tr><td>Los riesgos de los subprocesadores se eval\u00faan<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Evaluaciones de riesgo<\/td><\/tr><tr><td>Los cambios en los subprocesadores se monitorizan<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Notificaciones de cambios<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Implementaci\u00f3n del Ingeniero<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>El auditor verifica<\/th><th>El ingeniero implementa<\/th><\/tr><\/thead><tbody><tr><td>Visibilidad de los subprocesadores<\/td><td>Documentaci\u00f3n de dependencias SaaS<\/td><\/tr><tr><td>Conocimiento de los flujos de datos<\/td><td>Diagramas de arquitectura que muestran las rutas de terceros<\/td><\/tr><tr><td>Conciencia del riesgo<\/td><td>Evaluaci\u00f3n de riesgos que referencia las dependencias reales<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Brecha com\u00fan:<\/strong> Subprocesadores \u00abocultos\u00bb dentro de las plataformas CI\/CD.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">9. Estrategia de Salida y Resiliencia<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Lista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Control<\/th><th class=\"has-text-align-center\" data-align=\"center\">S\u00ed<\/th><th class=\"has-text-align-center\" data-align=\"center\">No<\/th><th>Evidencia<\/th><\/tr><\/thead><tbody><tr><td>Existen estrategias de salida para proveedores cr\u00edticos<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Planes de salida<\/td><\/tr><tr><td>Las estrategias de salida est\u00e1n documentadas<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Documentaci\u00f3n<\/td><\/tr><tr><td>La viabilidad de la salida ha sido evaluada<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Informes de evaluaci\u00f3n<\/td><\/tr><tr><td>Se han realizado pruebas de salida o alternativas<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Informes de prueba<\/td><\/tr><tr><td>Las estrategias de salida se revisan peri\u00f3dicamente<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de revisi\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Implementaci\u00f3n del Ingeniero<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>El auditor verifica<\/th><th>El ingeniero implementa<\/th><\/tr><\/thead><tbody><tr><td>Estrategia de salida documentada<\/td><td>Herramientas alternativas identificadas<\/td><\/tr><tr><td>Viabilidad de la salida<\/td><td>Portabilidad de artefactos, reproducibilidad de IaC<\/td><\/tr><tr><td>Evidencia de pruebas de salida<\/td><td>Pruebas DR \/ de salida ejecutadas y registradas<\/td><\/tr><tr><td>Sin dependencia de un \u00fanico proveedor<\/td><td>Acoplamiento reducido a caracter\u00edsticas espec\u00edficas de SaaS<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Brecha com\u00fan:<\/strong> El plan de salida existe solo como documento.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">10. Gesti\u00f3n y Retenci\u00f3n de Evidencia<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Lista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Control<\/th><th class=\"has-text-align-center\" data-align=\"center\">S\u00ed<\/th><th class=\"has-text-align-center\" data-align=\"center\">No<\/th><th>Evidencia<\/th><\/tr><\/thead><tbody><tr><td>La evidencia se almacena centralmente<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Repositorio de evidencia<\/td><\/tr><tr><td>La evidencia tiene marca de tiempo y es inmutable<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Configuraci\u00f3n de logging<\/td><\/tr><tr><td>La retenci\u00f3n de evidencia cumple las necesidades regulatorias<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Pol\u00edticas de retenci\u00f3n<\/td><\/tr><tr><td>El acceso a la evidencia est\u00e1 controlado<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registros de acceso<\/td><\/tr><tr><td>La evidencia puede producirse bajo solicitud<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Extractos de auditor\u00eda<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Implementaci\u00f3n del Ingeniero<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>El auditor verifica<\/th><th>El ingeniero implementa<\/th><\/tr><\/thead><tbody><tr><td>La evidencia es objetiva<\/td><td>Registros, aprobaciones, SBOMs generados autom\u00e1ticamente<\/td><\/tr><tr><td>La evidencia tiene l\u00edmite temporal<\/td><td>Registros con marca de tiempo e inmutables<\/td><\/tr><tr><td>La evidencia es accesible<\/td><td>Almacenamiento centralizado, acceso controlado<\/td><\/tr><tr><td>La evidencia es consistente<\/td><td>Los mismos controles en todos los entornos<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Brecha com\u00fan:<\/strong> Evidencia recopilada manualmente \u00abjusto antes de la auditor\u00eda\u00bb.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusi\u00f3n del Auditor<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Evaluaci\u00f3n<\/th><th>Resultado<\/th><\/tr><\/thead><tbody><tr><td>Cumplimiento general del Art\u00edculo 28<\/td><td>\u2610 Conforme \u2610 Parcialmente Conforme \u2610 No Conforme<\/td><\/tr><tr><td>Hallazgos principales identificados<\/td><td>\u2610 S\u00ed \u2610 No<\/td><\/tr><tr><td>Plan de remediaci\u00f3n requerido<\/td><td>\u2610 S\u00ed \u2610 No<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Principios Clave<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Verificaci\u00f3n de Realidad del Auditor<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Los auditores no validan intenciones, explicaciones ni diapositivas de arquitectura por s\u00ed solos. Validan: controles en operaci\u00f3n, evidencia producida por sistemas y consistencia a lo largo del tiempo.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">Bajo el Art\u00edculo 28 de DORA, <strong>la ausencia de evidencia es evidencia de ausencia<\/strong>. Los controles deben ser operativos, repetibles y demostrables.<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\">Verificaci\u00f3n de Realidad del Ingeniero<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Los ingenieros tienen \u00e9xito cuando: el cumplimiento est\u00e1 dise\u00f1ado en CI\/CD, los controles generan evidencia continuamente y las auditor\u00edas se convierten en verificaci\u00f3n, no en reconstrucci\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Contenido Relacionado Recomendado<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-28-evidence-pack\/\" data-type=\"post\" data-id=\"366\">DORA Article 28 \u2014 Evidence Pack (Auditor &amp; Engineer Views)<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-28-controls-evidence-mapping\/\" data-type=\"post\" data-id=\"994\">DORA Article 28 \u2014 Controls &amp; Evidence Mapping<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/regulatory-frameworks\/dora-article-28-architecture\/\" data-type=\"post\" data-id=\"364\">DORA Article 28 Architecture: Third-Party Risk Controls Across CI\/CD Pipelines<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/continuous-compliance-via-ci-cd\/\" data-type=\"post\" data-id=\"987\">Continuous Compliance via CI\/CD Pipelines<\/a><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--audit\"\r\n             dir=\"ltr\" lang=\"es\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Contexto \u201caudit-ready\u201d<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Contenido pensado para entornos regulados: controles antes que herramientas, enforcement en CI\/CD y evidencia por dise\u00f1o para auditor\u00edas.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Enfoque en trazabilidad, aprobaciones, gobernanza de excepciones y retenci\u00f3n de evidencia de extremo a extremo.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/es\/es\/about\/\">Ver la metodolog\u00eda en la p\u00e1gina About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>Lista de verificaci\u00f3n formal de auditor\u00eda para la gesti\u00f3n de riesgos ICT de terceros bajo el Art\u00edculo 28 de DORA. Sirve a dos audiencias simult\u00e1neamente: auditores que verifican controles y evidencia, e ingenieros que implementan los requisitos. Cubre las 10 \u00e1reas del Art\u00edculo 28 con brechas comunes en cada secci\u00f3n.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135,131],"tags":[],"post_folder":[],"class_list":["post-2056","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks-es","category-audit-evidence-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/2056","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=2056"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/2056\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=2056"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=2056"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=2056"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=2056"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}