Visualización del perfil de seguridad de un producto con AWS Marketplace Vendor Insights - AWS Marketplace

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Visualización del perfil de seguridad de un producto con AWS Marketplace Vendor Insights

AWS Marketplace Vendor Insights recopila datos de seguridad de los vendedores. El perfil de seguridad de un producto muestra información actualizada sobre la seguridad, la resiliencia, el cumplimiento y otros factores del producto necesarios para su evaluación. Esta información ayuda a compradores como usted a adquirir un software confiable que cumpla continuamente con los estándares del sector. Para cada producto de software como servicio (SaaS) que evalúa, AWS Marketplace Vendor Insights recopila la información basada en evidencias para varios controles de seguridad.

Panel de control en Vendor Insights AWS Marketplace

El panel presenta los artefactos de cumplimiento y la información de control de seguridad de un producto de software recopilada por AWS Marketplace Vendor Insights. Se proporciona información basada en pruebas para todas las categorías de control de seguridad, como un cambio en la residencia de los datos o el vencimiento de una certificación. El panel consolidado proporciona los cambios en la información sobre el cumplimiento. AWS Marketplace Vendor Insights elimina la necesidad de crear cuestionarios adicionales y utilizar software de evaluación de riesgos. Con un panel actualizado y validado de forma constante, puede supervisar de forma continua el control de seguridad del software después de la adquisición.

Visualización del perfil de seguridad de un producto SaaS

AWS Marketplace Vendor Insights le ayuda a tomar decisiones sobre el software de un vendedor. AWS Marketplace Vendor Insights extrae datos de la información basada en pruebas del vendedor en 10 categorías de control y varios controles. Puede ver la información resumida y de perfil de un producto de SaaS en el panel o seleccionar categorías de control para obtener más información sobre los datos recopilados. Debe estar suscrito al producto y tener acceso para ver la información de cumplimiento a través del perfil.

  1. Inicie sesión en la consola AWS Management Console y ábrala.AWS Marketplace

  2. Elija Información sobre proveedores.

  3. En Información sobre proveedores, elija un producto.

  4. En la página Detalles del perfil, seleccione la pestaña Seguridad y cumplimiento.

    nota

    Un número dentro de un círculo rojo indica el número de controles no conformes.

  5. Para Categorías de controles, elija el texto de cualquiera de las categorías de la lista para ver más información.

    • Elija el nombre del primer control (¿Cuenta con una política/procedimiento para garantizar el cumplimiento de los requisitos legislativos, reglamentarios y contractuales aplicables?).

    • Lea la información presentada. También puede ver los informes de un informe de AWS Artifact terceros o ver las excepciones del auditor.

    • Seleccione el nombre del producto en la navegación de arriba para volver a la página Detalles del producto.

Comprensión de las categorías de control

AWS Marketplace Vendor Insights le proporciona información basada en pruebas de varios controles dentro de 10 categorías de control. AWS Marketplace Vendor Insights recopila la información de tres fuentes: las cuentas de producción de los proveedores, la autoevaluación de los proveedores y los informes ISO 27001 y SOC 2 de tipo II de los proveedores. Para obtener más información acerca de estos orígenes, consulte AWS Marketplace Información sobre los proveedores.

La siguiente lista proporciona una descripción de cada categoría de control:

Administración de accesos

Identifica, rastrea, administra y controla el acceso a un sistema o aplicación.

Seguridad de las aplicaciones

Verifica si la seguridad se incorporó a la aplicación al diseñarla, desarrollarla y probarla.

Política de auditoría, cumplimiento y seguridad

Evalúa el cumplimiento por parte de una organización de los requisitos reglamentarios.

La resiliencia y la continuidad del negocio

Evalúa la capacidad de la organización para adaptarse rápidamente a las interrupciones y, al mismo tiempo, mantener la continuidad empresarial.

Seguridad de los datos

Protege los datos y los activos.

Seguridad de dispositivos de usuarios finales

Protege los dispositivos portátiles de los usuarios finales y las redes a las que están conectados de las amenazas y vulnerabilidades.

Recursos humanos

Evalúa la división relacionada con los empleados en cuanto al manejo de datos confidenciales durante procesos como la contratación, el pago y el despido de empleados.

Seguridad de la infraestructura

Protege los activos críticos de las amenazas y vulnerabilidades.

Gestión de riesgos y respuesta a incidentes

Evalúa el nivel de riesgo que se considera aceptable y las medidas adoptadas para responder a los riesgos y los ataques.

Política de seguridad y configuración

Evalúa las políticas de seguridad y las configuraciones de seguridad que protegen los activos de una organización.

Conjuntos de categorías de control

Las siguientes tablas proporcionan información detallada de cada categoría con información sobre los valores de cada categoría recopilada. En la siguiente lista se describe el tipo de información de cada columna de la tabla:

  • Conjunto de controles: los controles se asignan a un conjunto de controles y cada control refleja la función de seguridad de su categoría. Cada categoría tiene varios conjuntos de controles.

  • Nombre del control: nombre de la política o el procedimiento. “Requiere certificación manual” significa que se requiere una confirmación o documentación por escrito de la política o el procedimiento.

  • Descripción del control: preguntas, información o documentación necesarias sobre esta política o procedimiento.

  • Detalles de la extracción de pruebas: información y contexto necesarios sobre el control para seguir obteniendo los datos necesarios para esta categoría.

  • Valor de muestra: ejemplo que sirve de guía sobre el aspecto que podría tener un valor de cumplimiento para esta categoría de forma que se ajuste a las normas reglamentarias.

Controles de administración de acceso

Los controles de administración de acceso identifican, rastrean, administran y controlan el acceso a un sistema o aplicación. En esta tabla se enumeran los valores y las descripciones de los controles de administración de acceso.

Conjunto de control Título de control Descripción del control Detalle de extracción de pruebas Valor de muestra
Autenticación segura

Gestión de acceso 3.1.1: Autenticación segura: introducción de datos personales UserId (requiere certificación manual)

¿Necesita datos personales (distintos del nombre o la dirección de correo electrónico) en el ID de usuario?

Especifique si se requieren datos personales, distintos del nombre o la dirección de correo electrónico, como parte del identificador de usuario. En caso afirmativo, ¿qué datos se utilizarán? ¿Para qué caso de uso se utiliza?

No

Administración de acceso 3.1.2: Autenticación segura: la aplicación admite la autenticación de dos factores (requiere certificación manual)

¿La aplicación admite la autenticación de dos factores?

Especifique si la autenticación de dos factores se puede utilizar con la aplicación. En caso afirmativo, ¿qué herramientas se pueden utilizar?

Administración de acceso 3.1.3: Autenticación segura - Bloqueo de cuentas (requiere certificación manual)

¿Se bloquea la cuenta del cliente si hay varios inicios de sesión fallidos?

Especifique si el bloqueo de la cuenta está habilitado si hay varios inicios de sesión fallidos. En caso afirmativo, especifique el número de intentos tras los que se bloqueará la cuenta.

Sí. La cuenta se bloquea después de 5 inicios de sesión fallidos.

Administración de credenciales

Administración de acceso 3.2.1: Administración de credenciales - Política de contraseñas

¿La aplicación tiene una política de contraseña segura?

Especifique si existe una política de contraseñas seguras (por ejemplo RequireUppercaseCharacters, RequireSymbols o PasswordReusePrevention).

Administración de acceso 3.2.2: Administración de credenciales - Cifrado de contraseñas

¿La política de contraseñas exige que las credenciales de inicio de sesión (contraseña e ID de usuario) estén cifradas en tránsito y que se codifiquen con sal cuando se almacenen?

Especifique si las credenciales (contraseña e ID de usuario) se cifran en tránsito y, cuando se almacenan, si la contraseña está codificada con sal. En caso afirmativo, ¿puede proporcionar más detalles?

Sí, utilizamos el código para salar correctamente.

Administración de acceso 3.2.3: Administración de credenciales - Administración de secretos

¿Utiliza un servicio de administración de secretos?

Especifique si existe un servicio de administración secreto. En caso afirmativo, ¿puede proporcionar más detalles?

Sí. Todas las credenciales se almacenan en un servicio de administración secreto. Se rotan periódicamente.

Administración de acceso 3.2.4: Administración de credenciales - Credenciales en código (requiere certificación manual)

¿Se incluyen las credenciales en el código?

Especifique si las credenciales están incluidas en el código. En caso afirmativo, ¿puede proporcionar más detalles?

No

Acceso al entorno de producción

Administración de acceso 3.3.1: Acceso al entorno de producción - Inicio de sesión único (requiere certificación manual)

¿Está SSO habilitado para acceder al entorno de producción?

Especifique si se SSO puede utilizar con la aplicación. En caso afirmativo, ¿para qué herramienta se utilizaSSO?

Sí, Duo SSO

Administración de acceso 3.3.2: Acceso al entorno de producción - Autenticación de dos factores

¿Se requiere una autenticación de dos factores para acceder al entorno de producción o alojado?

Especifique si se requiere la autenticación de dos factores (2FA) para acceder al entorno de producción. En caso afirmativo, ¿qué herramienta se utiliza para la 2FA?

Sí, Yubikey

Administración de acceso 3.3.3: Acceso al entorno de producción - Usuario raíz (requiere certificación manual)

¿El usuario raíz solo se utiliza de forma excepcional para acceder al entorno de producción?

Especifique que el usuario raíz solo se utilice por excepción. En caso afirmativo, ¿puede establecer en qué casos se utilizará?

Sí. El usuario raíz se utiliza únicamente con fines de administración de dispositivos. Todos estos accesos se registran y supervisan.

Access Management 3.3.4 - Acceso al entorno de producción: usuario raíz MFA

¿El usuario root requiere una autenticación multifactorial ()? MFA

Especifique si iniciar sesión como usuario raíz requiere una autenticación multifactorial. En caso afirmativo, ¿para qué herramienta se utiliza? MFA

Sí. Los usuarios root deben utilizarla MFA para iniciar sesión. Sus credenciales raíz son distintas de las credenciales corporativas normales.

Administración de acceso 3.3.5: Acceso al entorno de producción - Acceso remoto

¿Se asegura el acceso remoto al entorno de producción mediante mecanismos como los canales cifrados o la autenticación basada en claves?

Si la aplicación permite el acceso remoto, especifique si el acceso es seguro (por ejemplo, ¿se utilizará la autenticación basada en claves y la comunicación se realizará a través de canales cifrados?)

Sí. El acceso remoto se utiliza con fines de administración de dispositivos. Necesitamos utilizar un MFA canal criptográfico aprobado para acceder al entorno de producción de forma remota.

Política de control de acceso

Administración de acceso 3.4.1: Política de control de acceso - Acceso con privilegios mínimos

¿Sigue la política de acceso con privilegios mínimos para que los usuarios accedan al entorno de producción?

Especifique si se asignan los privilegios mínimos a los usuarios. En caso negativo, ¿cómo controla el acceso?

Administración de acceso 3.4.2: Política de control de acceso - Revisión de la política de acceso

¿Se revisan periódicamente todas las políticas de acceso del entorno de producción?

Especifique si todas las políticas de acceso se revisan periódicamente. En caso afirmativo, proporcione detalles sobre la frecuencia con la que se revisan las políticas.

Sí. Todas las políticas de acceso se revisan cada 3 meses.

Administración de acceso 3.4.3: Política de control de acceso - Configuración de usuarios y políticas de seguridad (requiere certificación manual)

¿La aplicación permite a los clientes configurar los usuarios y sus privilegios?

Especifique si los clientes pueden configurar los usuarios (tanto del cliente como del proveedor) que tendrán acceso a su entorno.

Administración de acceso 3.4.4: Política de control de acceso - Segmentación lógica (requiere certificación manual)

¿Existe una segmentación lógica de los usuarios de la aplicación?

Especifique si existe una segmentación lógica de los usuarios.

Administración de acceso 3.4.5: Política de control de acceso - Revisión del acceso en caso de rescisión

¿Se actualizan todas las políticas de acceso pertinentes en caso de despido o cambio de puesto de un empleado?

Especifique si las políticas de acceso se eliminan o actualizan en caso de despido de un empleado o cambio de función.

Registros de acceso

Administración de acceso 3.5.1: Registros de acceso

¿Registra las actividades realizadas por los usuarios individuales en el entorno de producción?

Especifique si se registran las acciones y actividades de un usuario (empleado o cliente) en un entorno de producción. En caso afirmativo, ¿durante cuánto tiempo se conservan los registros?

Sí. Los registros se conservan durante un año.

Controles de seguridad de las aplicaciones

Los controles de seguridad de las aplicaciones verifican si la seguridad se incorporó a la aplicación al diseñarla, desarrollarla y probarla. En esta tabla se enumeran los valores y las descripciones de los controles de las políticas de seguridad de las aplicaciones.

Conjunto de control Título de control Descripción del control Detalle de extracción de pruebas Valor de muestra

Ciclo de vida de desarrollo de software seguro

Seguridad de las aplicaciones 4.1.1: Ciclo de vida seguro del desarrollo de software: entorno independiente

¿El entorno de desarrollo, prueba y puesta en escena está separado del entorno de producción?

Especifique si el entorno de desarrollo, prueba y uso transitorio es independiente del entorno de producción.

Seguridad de las aplicaciones 4.1.2: Ciclo de vida seguro del desarrollo de software: práctica de codificación segura

¿Los ingenieros de seguridad trabajan con los desarrolladores en materia de prácticas de seguridad?

Especifique si los desarrolladores y el ingeniero de seguridad trabajan juntos en prácticas de codificación segura.

Seguridad de las aplicaciones 4.1.3: Ciclo de vida seguro del desarrollo de software: uso de los datos de los clientes en un entorno de prueba (requiere certificación manual)

¿Los datos de los clientes se utilizan alguna vez en los entornos de prueba, desarrollo o control de calidad?

¿Los datos de los clientes se utilizan alguna vez en los entornos de prueba, desarrollo o control de calidad? En caso afirmativo, ¿qué datos se utilizan y para qué?

No

Seguridad de las aplicaciones 4.1.4: Ciclo de vida seguro del desarrollo de software: conexión segura

¿EstáSSL/TLShabilitado para todas las páginas web y comunicaciones que utilizan datos de clientes?

Especifique si se utiliza una conexión segura (comoSSL/TLS) para todas las comunicaciones con los datos del cliente.

Seguridad de las aplicaciones 4.1.5: Ciclo de vida seguro del desarrollo de software - Copia de seguridad de imágenes

¿Se hace una copia de seguridad de las instantáneas de las imágenes de las aplicaciones?

Especifique si se hace una copia de seguridad de las instantáneas de imagen (como los sistemas compatibles con la aplicación y los sistemas que alojan los datos de los clientes). En caso afirmativo, ¿existe algún proceso para garantizar que las instantáneas de imagen que contienen datos analizados estén autorizadas antes de capturarlas? ¿Se ha implementado un control de acceso para las instantáneas de las imágenes?

Sí. Las imágenes se respaldan con la aprobación del cliente y de la administración.

Revisión de seguridad de la aplicación

Seguridad de las aplicaciones 4.2.1: Revisión de seguridad de aplicaciones - Revisión de código seguro

¿Se revisa el código seguro antes de cada versión?

Especifique si se realiza una revisión del código de seguridad antes de cada publicación.

Seguridad de las aplicaciones 4.2.2: Revisión de la seguridad de las aplicaciones: prueba de penetración

¿Se realizan pruebas de penetración? ¿Podemos obtener informes de las pruebas de penetración?

Especifique si las pruebas de penetración se realizan en la aplicación. En caso afirmativo, ¿puede compartir los tres últimos informes como prueba manual?

Seguridad de las aplicaciones 4.2.1: Revisión de seguridad de aplicaciones: revisión de código seguro

¿Se aplican y verifican periódicamente todos los parches de seguridad de alto riesgo disponibles?

Especifique si los parches de seguridad de alto riesgo se aplican con regularidad. En caso afirmativo, ¿con qué frecuencia se aplican?

Sí. Los parches de seguridad se aplican mensualmente.

Seguridad de las aplicaciones 4.2.4: Revisión de la seguridad de las aplicaciones: análisis de vulnerabilidades en las aplicaciones

¿Se realizan escaneos de vulnerabilidades en todas las aplicaciones con acceso a Internet con regularidad y después de cambios significativos?

Especifique si los análisis de vulnerabilidades se realizan en todas las aplicaciones con acceso a Internet. En caso afirmativo, ¿con qué frecuencia se realizan los análisis de vulnerabilidades? ¿Podemos obtener una copia del informe?

Sí. Los escaneos de vulnerabilidades se realizan mensualmente.

Seguridad de las aplicaciones 4.2.5: Revisión de la seguridad de las aplicaciones: administración de amenazas y vulnerabilidades

¿Existen procesos para gestionar las herramientas de evaluación de amenazas y vulnerabilidades y los datos que recopilan?

Especifique si existen procesos para gestionar las herramientas de evaluación de amenazas y vulnerabilidades y sus conclusiones. ¿Podría proporcionar más detalles sobre cómo se gestionan las amenazas y las vulnerabilidades?

Sí. Todas las amenazas y vulnerabilidades de diferentes fuentes se agrupan en un portal. Se administran en función de su gravedad.

Seguridad de las aplicaciones 4.2.6 - Revisión de la seguridad de las aplicaciones: escaneos antimalware

¿Se realiza un análisis antimalware de la red y los sistemas que alojan la aplicación con regularidad?

Especifique si el análisis antimalware se realiza en la red y los sistemas que alojan la aplicación. En caso afirmativo, ¿con qué frecuencia se realiza? ¿Puede proporcionar el informe?

Sí. Los escaneos antimalware se realizan mensualmente.

Registros de aplicaciones

Seguridad de las aplicaciones 4.3.1: Registros de aplicaciones: registros de aplicaciones

¿Se recopilan y revisan los registros de las aplicaciones?

Especifique si se recopilan y revisan los registros de la aplicación. En caso afirmativo, ¿durante cuánto tiempo se conservan los registros?

Sí. Los registros se conservan durante un año.

Seguridad de las aplicaciones 4.3.2: Registros de aplicaciones: acceso a los registros

¿Están protegidos los registros del sistema operativo y de las aplicaciones contra modificaciones, eliminaciones o accesos inapropiados?

Especifique si los registros del sistema operativo y de las aplicaciones están protegidos contra la modificación, la eliminación o el acceso inapropiado. En caso de que se produzca una infracción o un incidente, ¿cuenta con procesos para detectar la pérdida de los registros de las aplicaciones?

Seguridad de las aplicaciones 4.3.3: Registros de aplicaciones: datos almacenados en registros (requiere certificación manual)

¿Almacena la información de identificación personal (PII) del cliente en registros?

Especifique si almacena la información de identificación personal del cliente (PII) en registros.

No. No se almacenará ningún PII dato en los registros.

Política de control de cambios

Seguridad de las aplicaciones 4.4.1: Política de control de cambios: pruebas funcionales y de resiliencia

¿Se realizan pruebas funcionales y de resiliencia antes de publicar un cambio?

Especifique si las pruebas funcionales y de resiliencia se realizan en la aplicación antes de una nueva versión.

Seguridad de las aplicaciones 4.4.2: Política de control de cambios: procedimientos de control de cambios

¿Se requieren procedimientos de control de cambios para todos los cambios en el entorno de producción?

Especifique si existen procedimientos de control de cambios para todos los cambios realizados en el entorno de producción.

Seguridad de las aplicaciones 4.4.3: Política de control de cambios: evite errores humanos o riesgos en la producción

¿Cuenta con un proceso para verificar que no se generen errores y riesgos humanos en la producción?

Especifique que existe un proceso para verificar que los errores y los riesgos humanos no se transfieran a la producción.

Seguridad de las aplicaciones 4.4.4: Política de control de cambios: documente y registre los cambios

¿Documenta y registra los cambios que puedan afectar a los servicios?

Especifique si los cambios que afectan al servicio están documentados y registrados. En caso afirmativo, ¿durante cuánto tiempo se conservan los registros?

Seguridad de las aplicaciones 4.4.5: Política de control de cambios: notificación de cambios para los compradores (requiere certificación manual)

¿Existe un proceso formal para garantizar que los clientes sean notificados antes de que se realicen cambios que puedan afectar a su servicio?

Especifique si se notificará a los clientes antes de realizar cambios que puedan afectar a su servicio. En caso afirmativo, ¿qué debo notificar SLA a los clientes sobre los cambios impactantes?

Sí. Notificamos a los clientes 90 días antes de los cambios surtan efecto.

Auditoría y controles de cumplimiento

Los controles de auditoría y cumplimiento evalúan el cumplimiento por parte de una organización de los requisitos reglamentarios. En esta tabla se enumeran los valores y las descripciones de los controles de auditoría y cumplimiento.

Conjunto de control Título de control Descripción del control Detalle de extracción de pruebas Valor de muestra

Certificaciones completadas

Auditoría y cumplimiento 1.1.1: Certificaciones completadas (requiere certificación manual)

Enumere las certificaciones que posea.

Especifique las certificaciones que tiene.

SOC2,ISO/27001 IEC

Certificación en curso

Auditoría y cumplimiento 1.2.1: Certificación en curso (requiere certificación manual)

Enumere los certificados adicionales que están en curso actualmente.

Enumere los certificados adicionales que se estén auditando o revisando actualmente con una fecha de finalización estimada.

Sí. PCIla certificación está en curso (ETAsegundo trimestre de 2022).

Procedimientos que garantizan el cumplimiento

Auditoría y cumplimiento 1.3.1: Procedimientos que garantizan el cumplimiento - Procedimientos que garantizan el cumplimiento

¿Cuenta con una política o un procedimiento para garantizar el cumplimiento de los requisitos legislativos, reglamentarios y contractuales aplicables?

Especifique si cuenta con una política o un procedimiento para garantizar el cumplimiento de los requisitos legislativos, reglamentarios y contractuales aplicables. En caso afirmativo, indique los detalles del procedimiento y cargue las pruebas manuales.

Sí. Hemos subido documentos comoSOC2, ISO IEC /27001.

Auditoría y cumplimiento 1.3.2: Procedimientos que garantizan el cumplimiento - Auditorías para hacer un seguimiento de los requisitos pendientes

¿Se realizan las auditorías para hacer un seguimiento de los requisitos normativos y de cumplimiento pendientes?

Especifique si las auditorías se realizan para hacer un seguimiento de los requisitos pendientes. En caso afirmativo, proporcione más detalles.

Sí, las auditorías se realizan mensualmente para hacer un seguimiento de los requisitos pendientes.

Auditoría y cumplimiento 1.3.3: Procedimientos que garantizan el cumplimiento - Desviaciones y excepciones (requiere certificación manual)

¿Cuenta con un proceso para gestionar las desviaciones y excepciones de los requisitos de cumplimiento?

Especifique si existe un proceso para gestionar las excepciones o desviaciones de los requisitos de cumplimiento. En caso afirmativo, proporcione más detalles.

Sí. Tenemos un registro de desviaciones y herramientas de informes. Investigamos todas las excepciones o desviaciones para evitar que ocurran en el futuro.

Controles de resiliencia empresarial

Los controles de resiliencia empresarial evalúan la capacidad de la organización para adaptarse rápidamente a las interrupciones y, al mismo tiempo, mantener la continuidad empresarial. En esta tabla se enumeran los valores y las descripciones de los controles de las políticas de resiliencia empresarial.

Conjunto de control Título de control Descripción del control Detalle de extracción de pruebas Valor de muestra
Resiliencia de empresa

Resiliencia y continuidad empresariales 6.1.1: Resiliencia empresarial: pruebas de conmutación por error (requiere certificación manual)

¿Se realizan pruebas de conmutación por error en el sitio al menos una vez al año?

Especifique si las pruebas de conmutación por error se realizan anualmente. En caso negativo, ¿con qué frecuencia se realizan?

Resiliencia y continuidad empresariales 6.1.2: Resiliencia empresarial: análisis del impacto empresarial (requiere certificación manual)

¿Se ha realizado un análisis del impacto empresarial?

Especifique si se realizó un análisis de impacto empresarial. En caso afirmativo, ¿cuándo se completó por última vez? Proporcione detalles sobre el análisis realizado.

Sí. Hace 6 meses se completó un análisis del impacto empresarial.

Resiliencia y continuidad empresariales 6.1.3: Resiliencia empresarial: dependencia de proveedores externos (requiere certificación manual)

¿Existe alguna dependencia de proveedores de servicios externos esenciales (además de un proveedor de servicios en la nube)?

Especifique si existe alguna dependencia de proveedores externos (además de un proveedor de servicios en la nube). En caso afirmativo, ¿puede proporcionar detalles sobre los proveedores?

No

Resiliencia y continuidad empresariales 6.1.4: Resiliencia empresarial: pruebas de continuidad y recuperación realizadas por terceros (requiere certificación manual)

¿Requiere que los proveedores externos tengan sus propios procesos y ejercicios de recuperación de desastres?

Especifique si los proveedores externos deben tener sus propios procesos y ejercicios de recuperación de desastres.

No se aplica a este ejemplo.

Resiliencia y continuidad empresarial 6.1.5: Resiliencia empresarial: incumplimiento de contrato por parte de vendedores externos (requiere certificación manual)

¿Los contratos con los proveedores de servicios críticos incluyen una cláusula de penalización o reparación por incumplimiento de la disponibilidad y la continuidad Vendido y enviado por Amazon (SSA)?

¿Se incluyen cláusulas de penalización o reparación por incumplimiento de la disponibilidad y la continuidad en los contratos con proveedores externos?

No se aplica a este ejemplo.

Resiliencia y continuidad empresarial 6.1.6: Resiliencia empresarial: salud de sistema

¿Tiene monitores o alertas para comprender el estado del sistema?

Especifique si existen monitores o alertas para comprender el estado del sistema.

Continuidad empresarial

Resiliencia y continuidad empresarial 6.2.1: Continuidad empresarial: políticas y procedimientos de continuidad empresarial

¿Se han desarrollado y documentado los procedimientos formales de continuidad del negocio?

Especifique si se desarrollan y mantienen procedimientos formales para la continuidad del negocio. En caso afirmativo, proporcione más detalles sobre los procedimientos.

Resiliencia y continuidad empresarial 6.2.2: Continuidad empresarial: estrategias de respuesta y recuperación

¿Se han definido estrategias específicas de respuesta y recuperación para las actividades priorizadas?

Especifique si se han desarrollado estrategias de recuperación y respuesta para las actividades y los servicios de los clientes.

Resiliencia y continuidad empresarial 6.2.3: Continuidad empresarial: pruebas de continuidad empresarial

¿Realiza pruebas de recuperación para garantizar la continuidad del negocio?

Especifique si realiza pruebas de recuperación para garantizar la continuidad empresarial en caso de fallo.

Sí. En caso de fallo, los sistemas de continuidad empresarial se activarán en un plazo de 2 horas.

Resiliencia y continuidad empresariales 6.2.4: Continuidad empresarial: impacto en la disponibilidad en entornos con varios arrendatarios (requiere certificación manual)

¿Limita la capacidad del comprador de imponer una carga que pueda afectar a la disponibilidad para otros usuarios de su sistema?

Especifique si la carga de un comprador puede afectar a la disponibilidad de otro comprador. En caso afirmativo, ¿cuál es el límite hasta el cual no se producirá ningún impacto? En caso negativo, ¿puede proporcionarnos más detalles sobre cómo se asegura de que los servicios no se vean afectados durante los picos de uso y ocasiones similares?

Sí. El umbral no está disponible para esta muestra.

Disponibilidad de aplicaciones

Resiliencia y continuidad empresariales 6.3.1: Disponibilidad de las aplicaciones: registro de disponibilidad (requiere certificación manual)

¿Hubo algún problema importante relacionado con la fiabilidad o la disponibilidad durante el último año?

Especifique si hubo algún problema importante relacionado con la fiabilidad o la disponibilidad en el último año.

No

Resiliencia y continuidad empresariales 6.3.2: Disponibilidad de las aplicaciones: período de mantenimiento programado (requiere certificación manual)

¿Se prevé un tiempo de inactividad durante el mantenimiento programado?

Especifique si hay un período de mantenimiento programado durante el cual los servicios podrían estar inactivos. En caso afirmativo, ¿cuánto dura el tiempo de inactividad?

No

Resiliencia y continuidad empresarial 6.3.3: Disponibilidad de las aplicaciones: portal de incidentes en línea (requiere certificación manual)

¿Existe un portal en línea sobre el estado de la respuesta a incidentes que describa las interrupciones planificadas y no planificadas?

Especifique si hay un portal de estado de incidentes que describa las interrupciones planificadas y no planificadas. En caso afirmativo, proporcione detalles sobre cómo puede el cliente acceder a él. ¿Cuánto tiempo pasará después de la interrupción del servicio y se actualizará el portal?

Sí. El cliente puede acceder a los detalles a través de example.com.

Resiliencia y continuidad empresarial 6.3.4: Disponibilidad de las aplicaciones: objetivo de tiempo de recuperación (requiere certificación manual)

¿Existe un objetivo de tiempo de recuperación específico (RTO)?

Especifique si hay un objetivo de tiempo de recuperación (RTO). En caso afirmativo, ¿puede proporcionarnos elRTO?

Sí, 2 horasRTO.

Resiliencia y continuidad empresarial 6.3.5: Disponibilidad de las aplicaciones: objetivo de punto de recuperación (requiere certificación manual)

¿Existe un objetivo de punto de recuperación específico (RPO)?

Especifique si hay un objetivo de punto de recuperación (RPO). En caso afirmativo, ¿puede proporcionarnos elRPO?

Sí, una semanaRPO.

Controles de seguridad de los datos

Los controles de seguridad de los datos protegen los datos y los activos. En esta tabla se enumeran los valores y las descripciones de los controles de seguridad de los datos.

Conjunto de control Título de control Descripción del control Detalle de extracción de pruebas Valor de muestra

Ingesta de datos del cliente

Seguridad de los datos 2.1.1: Ingesta de datos del cliente (requiere certificación manual)

Cree una lista de los datos que necesitan los clientes para que el producto funcione correctamente.

Describa todas las ingestas de datos de los clientes. Especifique si se consumen datos sensibles o confidenciales.

No se consumen datos sensibles ni confidenciales. Este producto solo consume información no confidencial, como registros de aplicaciones, infraestructura y Servicios de AWS. (AWS CloudTrail AWS Config, registros VPC de flujo)

Ubicación de almacenamiento de datos

Seguridad de datos 2.2.1: Ubicación de almacenamiento de datos (requiere certificación manual)

¿Dónde se almacenan los datos de los clientes? Enumere los países y regiones en los que se almacenan los datos.

Especifique la lista de países y regiones en los que se almacenan los datos.

Ohio (EE. UU.), Oregón (EE. UU.), Irlanda (UE)

Control de acceso

Seguridad de los datos 2.3.1: Control de acceso: acceso de los empleados (requiere certificación manual)

¿Los empleados tienen acceso a los datos de los clientes sin cifrar?

Especifique si los empleados tienen acceso a los datos de los clientes no cifrados. En caso afirmativo, explique brevemente por qué necesitan acceder. Si la respuesta es negativa, explique brevemente cómo controla el acceso.

No, todos los datos se cifran cuando se almacenan. Los empleados no tendrán acceso a los datos de los clientes, sino solo a los datos sobre su uso.

Seguridad de los datos 2.3.2: Control de acceso: aplicación móvil (requiere certificación manual)

¿Los clientes pueden acceder a sus datos a través de una aplicación móvil?

Especifique si los clientes pueden acceder a sus datos mediante una aplicación móvil. En caso afirmativo, proporcione más detalles. ¿Cómo inician sesión los clientes? ¿La aplicación almacena en caché las credenciales? ¿Con qué frecuencia se actualizan los tokens?

No, no se puede acceder al servicio mediante una aplicación móvil.

Seguridad de los datos 2.3.3: Control de acceso: países a los que se transmiten los datos (requiere certificación manual)

¿Los datos de los clientes se transmiten a países fuera del origen?

¿Los datos de los clientes se transmiten a países fuera del origen? En caso afirmativo, especifique la lista de países donde se transmiten o reciben los datos de los clientes.

No

Seguridad de los datos 2.3.4: Control de acceso: ¿se comparten los datos con proveedores externos? (requiere certificación manual)

¿Se comparten los datos de los clientes con proveedores externos (distintos de los proveedores de servicios en la nube)?

¿Se comparten los datos de los clientes con proveedores externos? En caso afirmativo, especifique la lista de proveedores externos y sus países o regiones a los que proporciona los datos de los clientes.

No

Seguridad de los datos 2.3.5: Control de acceso: política de seguridad relacionada con proveedores externos

¿Cuenta con políticas o procedimientos para garantizar que los proveedores externos mantengan la confidencialidad, la disponibilidad y la integridad de los datos de los clientes?

Especifique si cuenta con políticas o procedimientos para garantizar que los proveedores externos mantengan la confidencialidad, la disponibilidad y la integridad de los datos de los clientes. En caso afirmativo, cargue un manual o un documento con las políticas o los procedimientos.

No se aplica a este ejemplo.

Cifrado de datos

Seguridad de los datos 2.4.1: Cifrado de datos: cifrado de datos en reposo

¿Se cifran todos los datos en reposo?

Especifique si todos los datos se cifran en reposo.

Seguridad de los datos 2.4.2: Cifrado de datos: cifrado de datos en tránsito

¿Están cifrados todos los datos en tránsito?

Especifique si todos los datos están cifrados en tránsito.

Seguridad de datos 2.4.3: Cifrado de datos: algoritmos potentes (requiere certificación manual)

¿Utilizas algoritmos de cifrado potentes?

¿Utilizas algoritmos de cifrado potentes? En caso afirmativo, especifique qué algoritmos de cifrado (comoRSA,, AES 256) se utilizan.

Sí. AESSe utiliza 256 para cifrar los datos.

Seguridad de los datos 2.4.4 - Cifrado de datos: clave de cifrado única (requiere certificación manual)

¿Los clientes tienen la posibilidad de generar una clave de cifrado única?

¿Los clientes pueden proporcionar o generar sus propias claves de cifrado únicas? En caso afirmativo, proporcione más detalles y cargue pruebas.

Seguridad de los datos 2.4.5 - Cifrado de datos: acceso a las claves de cifrado (requiere certificación manual)

¿Se impide a los empleados acceder a las claves de cifrado de un cliente?

Especifique si sus empleados no pueden acceder a las claves de cifrado de un cliente. Si la respuesta es negativa, explique por qué tienen acceso a las claves de los clientes. En caso afirmativo, explique cómo se controla el acceso.

Sí. Las claves criptográficas se almacenan de forma segura y se rotan periódicamente. Los empleados no tienen acceso a estas claves.

Almacenamiento y clasificación de datos

Seguridad de los datos 2.5.1: Almacenamiento y clasificación de datos - Copia de seguridad

¿Hacen copias de seguridad de los datos de los clientes?

Especifique si hace una copia de seguridad de los datos de los clientes. En caso afirmativo, describa su política de copias de seguridad (incluidos los detalles sobre la frecuencia con la que se realizan las copias de seguridad, dónde se almacenan, el cifrado de las copias de seguridad y la redundancia).

Sí, la copia de seguridad se realiza cada tres meses. La copia de seguridad está cifrada y almacenada en la misma región que los datos de clientes. El ingeniero de soporte del cliente tiene acceso para restaurar la copia de seguridad, pero no los datos de la copia de seguridad.

Seguridad de los datos 2.5.2 -: Almacenamiento y clasificación de datos: política de control de acceso a los datos

¿Implementa los controles de acceso adecuados para los datos almacenados de los clientes? Proporcione sus políticas de control de acceso.

Especifique si se implementan los controles de acceso adecuados (por ejemploRBAC) para los datos almacenados de los clientes. Proporcione más detalles y pruebas manuales sobre cómo controla el acceso a los datos.

Sí. Los controles de acceso con privilegios mínimos se implementan para restringir el acceso a los datos de los clientes.

Seguridad de los datos 2.5.3: Almacenamiento y clasificación de datos: datos de transacciones (requiere certificación manual)

¿Los detalles de la transacción del cliente (como la información de la tarjeta de pago y la información sobre los grupos que realizan las transacciones) están almacenados en una zona perimetral?

Especifique si los detalles de la transacción del cliente (como la información de las tarjetas de pago y la información sobre los grupos que realizan las transacciones) se almacenarán en una zona perimetral. En caso afirmativo, explica por qué se debe almacenar en la zona perimetral.

No

Seguridad de los datos 2.5.4: Almacenamiento y clasificación de datos: clasificación de la información

¿Se clasifican los datos de los clientes según los requisitos legales o reglamentarios, el valor empresarial y el carácter sensible a la divulgación o modificación no autorizadas?

Especifique si los datos de los clientes se clasifican por confidencialidad. En caso afirmativo, cargue una prueba manual de esta clasificación.

Seguridad de los datos 2.5.5: Almacenamiento y clasificación de datos: segmentación de datos (requiere certificación manual)

¿Se proporciona la capacidad de segmentación y separación de datos entre los clientes?

Especifique si los datos de diferentes clientes están segmentados. En caso negativo, explique los mecanismos de los que dispone para proteger los datos de la contaminación cruzada.

Retención de datos

Seguridad de los datos 2.6.1: Retención de datos (requiere certificación manual)

¿Durante cuánto tiempo se conservan los datos?

Especifique la duración de la conservación de los datos. Si el período de retención difiere según la clasificación y la confidencialidad de los datos, ¿puede proporcionar detalles sobre cada período de retención?

6 meses

Retención de datos después de la cancelación de la suscripción

Seguridad de los datos 2.6.2: Retención de datos tras la cancelación de la suscripción del cliente (requiere certificación manual)

¿Cuánto tiempo se conservan los datos después de que los compradores se den de baja?

Especifique la duración de la conservación de los datos después de que los clientes se den de baja.

6 meses

Controles de seguridad de los dispositivos del usuario final

Los controles de seguridad de los dispositivos del usuario final protegen los dispositivos portátiles de los usuarios finales y las redes a las que están conectados de las amenazas y vulnerabilidades. En esta tabla se enumeran los valores y las descripciones de los controles de las políticas de seguridad de los dispositivos de usuario final.

Conjunto de control Título de control Descripción del control Detalle de extracción de pruebas Valor de muestra
Inventario de activos/software

Seguridad de los dispositivos de usuario final 7.1.1: Inventario de activos/software: inventario de activos

¿Se actualiza periódicamente la lista de inventario de activos?

Especifique si se mantiene un inventario de activos. En caso afirmativo, ¿con qué frecuencia se actualiza?

Sí. El inventario se actualiza semanalmente.

Seguridad de los dispositivos de usuario final 7.1.2: Inventario de activos y software: inventario de software y aplicaciones

¿Están inventariadas todas las plataformas y aplicaciones de software instaladas en los sistemas explorados?

Especifique si se mantiene el inventario de todo el software y las aplicaciones instalados. En caso afirmativo, ¿con qué frecuencia se actualiza?

Sí. El inventario se actualiza semanalmente.

Seguridad de los activos

Seguridad de los dispositivos de usuario final 7.2.1: Seguridad de los activos: parches de seguridad

¿Se aplican y verifican todos los parches de seguridad de alto riesgo disponibles al menos una vez al mes en todos los dispositivos de los usuarios finales?

Especifique si todos los parches de seguridad de alto riesgo se aplican al menos una vez al mes. En caso negativo, ¿con qué frecuencia se aplica? ¿Puede proporcionarnos más detalles sobre cómo se gestionan los parches?

Sí. Tenemos un equipo de seguridad que realiza este proceso cada dos semanas.

Seguridad de dispositivos de usuario final 7.2.2: Seguridad de activos: seguridad de puntos de conexión

¿Cuenta con seguridad para puntos de conexión?

Especifique si la seguridad de los puntos de conexión está instalada en todos los dispositivos. En caso afirmativo, ¿puede proporcionarnos más detalles sobre la herramienta y su mantenimiento?

Sí. Nuestro equipo de seguridad se encarga de ello cada dos semanas mediante herramientas internas.

Seguridad de los dispositivos de usuario final 7.2.3: Seguridad de los activos: mantenimiento y reparación de activos (requiere certificación manual)

¿El mantenimiento y la reparación de los activos de la organización se realizan y registran con herramientas aprobadas y controladas?

Especifique si el mantenimiento y la reparación de los activos se realizan y registran con herramientas controladas. En caso afirmativo, ¿podría proporcionar más detalles sobre cómo se gestiona?

Sí. Se registra todo el mantenimiento de los dispositivos. Este mantenimiento no provoca tiempos de inactividad.

Seguridad de los dispositivos de usuario final 7.2.4: Seguridad de los activos: control de acceso para dispositivos

¿Los dispositivos tienen activado el control de acceso?

Especifique si los dispositivos tienen habilitados los controles de acceso (por ejemploRBAC).

Sí. El acceso con privilegios mínimos se implementa en todos los dispositivos.

Registros de dispositivos

Seguridad de los dispositivos de usuario final 7.3.1: Registros de dispositivos: detalles suficientes en los registros (requiere certificación manual)

¿Se registran suficientes detalles en los registros del sistema operativo y del dispositivo para facilitar la investigación de incidentes?

Especifique si en los registros se incluyen suficientes detalles (como intentos de inicio de sesión correctos y fallidos y cambios en archivos y ajustes de configuración confidenciales) para facilitar la investigación del incidente. Si la respuesta es negativa, proporcione más detalles sobre cómo gestiona las investigaciones de incidentes.

Seguridad de los dispositivos de usuario final 7.3.2: Registros de dispositivos: acceso a los registros de dispositivos

¿Los registros del dispositivo están protegidos contra modificaciones, eliminaciones o accesos inapropiados?

Especifique si los registros del dispositivo están protegidos contra la modificación, la eliminación o el acceso inapropiado. En caso afirmativo, ¿puede proporcionarnos detalles sobre cómo aplicarla?

Sí. Los cambios en los registros se imponen mediante el control de acceso. Todos los cambios en los registros generan una alerta.

Seguridad de los dispositivos de usuario final 7.3.3: Registros del dispositivo: retención de registros (requiere certificación manual)

¿Se conservan los registros durante el tiempo suficiente para investigar un ataque?

¿Cuánto tiempo se conservarán los registros?

Sí, 1 año.

Administración de dispositivos móviles

Administración de dispositivos de usuario final 7.4.1: Administración de dispositivos móviles: programa de administración de dispositivos móviles

¿Existe un programa de administración de dispositivos móviles?

Especifique si existe un programa de administración de dispositivos móviles. En caso afirmativo, especifique qué herramienta se utiliza para la administración de dispositivos móviles.

Sí. Usamos herramientas internas.

Seguridad de los dispositivos de usuario final 7.4.2: Administración de dispositivos móviles: acceso al entorno de producción desde dispositivos móviles privados (requiere certificación manual)

¿Se impide que el personal acceda al entorno de producción mediante dispositivos móviles privados no administrados?

Especifique si los empleados no pueden acceder al entorno de producción mediante el uso de dispositivos móviles privados no administrados. En caso negativo, ¿cómo se aplica este control?

Seguridad de los dispositivos de usuario final 7.4.3: Administración de dispositivos móviles: acceso a los datos de los clientes desde dispositivos móviles (requiere certificación manual)

¿Se impide a los empleados utilizar dispositivos móviles privados no gestionados para ver o procesar los datos de los clientes?

Especifique si los empleados no pueden acceder a los datos de los clientes mediante el uso de dispositivos móviles no gestionados. En caso negativo, ¿cuál es el caso de uso para permitir el acceso? ¿Cómo supervisa el acceso?

Controles de recursos humanos

Los controles de recursos humanos evalúan la gestión de datos confidenciales por parte de la división relacionada con los empleados durante procesos como la contratación, el pago y el despido de empleados. En esta tabla se enumeran los valores y las descripciones de los controles de las políticas de recursos humanos.

Conjunto de control Título de control Descripción del control Detalle de extracción de pruebas Valor de muestra
Política de recursos humanos

Recursos humanos 9.1.1: Política de recursos humanos: evaluación de antecedentes para los empleados

¿Se realiza una evaluación de antecedentes antes del empleo?

Especifique si se realiza una evaluación de antecedentes de todos los empleados antes de la contratación.

Recursos humanos 9.1.2: Política de recursos humanos: contrato laboral

¿Se firma un contrato de trabajo antes del empleo?

Especifique si el contrato de trabajo se firma antes de la contratación.

Recursos humanos 9.1.3: Política de recursos humanos: formación en materia de seguridad para empleados

¿Todos los empleados reciben formación periódica sobre concienciación en materia de seguridad?

Especifique si los empleados reciben formación en materia de seguridad con regularidad. En caso afirmativo, ¿con qué frecuencia reciben formación en materia de seguridad?

Sí. Todos los años reciben formación en materia de seguridad.

Recursos humanos 9.1.4: Política de recursos humanos - Proceso disciplinario por incumplimiento de las políticas

¿Existe un proceso disciplinario por el incumplimiento de las políticas de recursos humanos?

Especifique si existe un proceso disciplinario por el incumplimiento de las políticas de recursos humanos.

Recursos humanos 9.1.5: Política de recursos humanos: verificación de antecedentes de los contratistas y subcontratistas (requiere certificación manual)

¿Se realizan verificaciones de antecedentes de proveedores, contratistas y subcontratistas externos?

Especifique si se realizan verificaciones de antecedentes de proveedores, contratistas y subcontratistas externos. En caso afirmativo, ¿la verificación de antecedentes se realiza con regularidad?

Sí. La verificación de antecedentes se realiza anualmente.

Recursos humanos 9.1.6: Política de recursos humanos: devolución de activos en caso de rescisión

¿Existe un proceso para verificar la devolución de los activos constitutivos tras la rescisión?

Especifique si existe un proceso para verificar la devolución de los activos constitutivos tras el despido del empleado.

Controles de seguridad de la infraestructura

Los controles de seguridad de la infraestructura protegen los activos críticos de las amenazas y vulnerabilidades. En esta tabla se enumeran los valores y las descripciones de los controles de las políticas de seguridad de la infraestructura.

Conjunto de control Título de control Descripción del control Detalle de extracción de pruebas Valor de muestra
Seguridad física

Seguridad de la infraestructura 8.1.1: Seguridad física: acceso físico a las instalaciones

¿Las personas que necesitan acceder a los activos en persona (como edificios, vehículos o hardware) deben proporcionar un documento de identidad y las credenciales necesarias?

Especifique si las personas que necesitan acceder a los activos en persona (como edificios, vehículos o hardware) deben proporcionar un documento de identidad y las credenciales necesarias.

Seguridad de la infraestructura 8.1.2: Seguridad física: existen controles ambientales y de seguridad física

¿Existen controles ambientales y de seguridad física en el centro de datos y en los edificios de oficinas?

Especifique si existen controles de seguridad física y ambiental en todas las instalaciones.

Seguridad de la infraestructura 8.1.3: Seguridad física: acceso de visitantes (requiere certificación manual)

¿Registran el acceso de los visitantes?

Si se permite la entrada de visitantes a las instalaciones, ¿se mantienen los registros de acceso de los visitantes? En caso afirmativo, ¿durante cuánto tiempo se conservan los registros?

Sí. Los registros se mantendrán durante un año.

Seguridad de la red

Seguridad de la infraestructura 8.2.1: Seguridad de la red: deshabilite los puertos y servicios no utilizados (requiere certificación manual)

¿Están todos los puertos y servicios no utilizados deshabilitados del entorno y los sistemas de producción?

Especifique si todos los puertos y servicios no utilizados están deshabilitados en el entorno y los sistemas de producción.

Seguridad de la infraestructura 8.2.2: Seguridad de la red: uso de firewalls

¿Se utilizan los firewalls para aislar los sistemas críticos y sensibles en segmentos de red separados de los segmentos de red con sistemas menos sensibles?

Especifique si los firewalls se utilizan para aislar los segmentos críticos y sensibles de los segmentos con sistemas menos sensibles.

Seguridad de la infraestructura 8.2.3: Seguridad de la red: revisión de las reglas de los firewalls

¿Se revisan y actualizan periódicamente todas las reglas de los firewalls?

¿Con qué frecuencia se revisan y actualizan las reglas de firewall?

Sí. Las reglas del firewall se actualizan cada 3 meses.

Seguridad de la infraestructura 8.2.4: Seguridad de red: sistemas de detección/prevención de intrusiones

¿Están implementados los sistemas de detección y prevención de intrusiones en todas las zonas sensibles de la red y dondequiera que estén habilitados los firewalls?

Especifique si los sistemas de detección y prevención de intrusiones están habilitados en todas las zonas de red sensibles.

Seguridad de la infraestructura 8.2.5: Seguridad de la red: normas de seguridad y refuerzo

¿Cuenta con normas de seguridad y refuerzo para los dispositivos de red?

Especifique si cuenta con normas de seguridad y refuerzo para los dispositivos de red. En caso afirmativo, ¿puede proporcionar más detalles (incluidos detalles sobre la frecuencia con la que se implementan y actualizan estos estándares)?

Sí. Los estándares de seguridad y refuerzo se implementan mensualmente en los dispositivos de red.

Servicios en la nube

Seguridad de la infraestructura 8.3.1: Servicios en la nube: plataformas utilizadas para alojar aplicaciones (requiere certificación manual)

Enumere las plataformas en la nube que utiliza para alojar su aplicación.

Especifique qué plataformas en la nube utiliza para alojar la aplicación.

AWS

Controles de administración de riesgos y respuesta a incidentes

Los controles de administración de riesgos y respuesta a incidentes evalúan el nivel de riesgo que se considera aceptable y las medidas adoptadas para responder a los riesgos y los ataques. En esta tabla se enumeran los valores y las descripciones de los controles de la política de administración de riesgos y respuesta a incidentes.

Conjunto de control Título de control Descripción del control Detalle de extracción de pruebas Valor de muestra
Evaluación de riesgos

Administración de riesgos/Respuesta a incidentes 5.1.1: Evaluación de riesgos: abordar e identificar los riesgos

¿Existe un proceso formal centrado en identificar y abordar los riesgos de incidentes perturbadores para la organización?

Especifique si existe un proceso para identificar y abordar los riesgos que causan incidentes perturbadores para la organización.

Administración de riesgos/Respuesta a incidentes 5.1.2: Evaluación de riesgos: proceso de administración de riesgos

¿Existe un programa o proceso para administrar el tratamiento de los riesgos identificados durante las evaluaciones?

Especifique si existe un programa o proceso para administrar los riesgos y sus mitigaciones. En caso afirmativo, ¿puede proporcionar más detalles sobre el proceso de administración de riesgos?

Sí. Revisamos y solucionamos los problemas con regularidad para abordar las ausencias de cumplimiento. La siguiente información se identifica para cualquier problema que afecte a nuestro entorno:

• Detalles del problema identificado

• Causa raíz

• Controles de compensación

• Gravedad

• Propietario

• Hacia el futuro a corto plazo

• Un camino a seguir a largo plazo

Administración de riesgos/Respuesta a incidentes 5.1.3: Evaluación de riesgos - Evaluaciones de riesgos

¿Se realizan evaluaciones de riesgos con frecuencia?

¿Se realizan evaluaciones de riesgos con frecuencia? En caso afirmativo, especifique la frecuencia de las evaluaciones de riesgos.

Sí. Las evaluaciones de riesgos se completan cada 6 meses.

Administración de riesgos/Respuesta a incidentes 5.1.4: Evaluación de riesgos: evaluación de riesgos para proveedores externos

¿Se realizan evaluaciones de riesgos para todos los proveedores externos?

Especifique si las evaluaciones de riesgos se realizan para todos los proveedores externos. En caso afirmativo, ¿con qué frecuencia?

No se aplica a este ejemplo.

Administración del riesgo/Respuesta a los incidentes 5.1.5: Evaluación del riesgo: reevaluación del riesgo cuando se cambia el contrato

¿Se realizan evaluaciones de riesgos cuando se producen cambios en la prestación de servicios o en los contratos?

Especifique si las evaluaciones de riesgos se realizarán cada vez que se modifique la prestación de un servicio o un contrato.

No se aplica a este ejemplo.

Administración del riesgo/Respuesta a los incidentes 5.1.6: Evaluación del riesgo: aceptación de los riesgos (requiere certificación manual)

¿Existe un proceso para que la gerencia acepte los riesgos de manera consciente y objetiva y apruebe los planes de acción?

Especifique si existe un proceso para que la dirección comprenda y acepte los riesgos y apruebe los planes de acción y un calendario para solucionar un problema relacionado con el riesgo. ¿El proceso incluye proporcionar a la gerencia detalles de las métricas detrás de cada riesgo?

Sí. Los detalles sobre la gravedad del riesgo y los posibles problemas si no se mitigan se proporcionan a la gerencia antes de que apruebe el riesgo.

Administración del riesgo/Respuesta a los incidentes 5.1.7: Evaluación del riesgo: métricas de riesgo (requiere certificación manual)

¿Cuenta con medidas para definir, supervisar y reportar las métricas de riesgo?

Especifique si existe un proceso para definir, supervisar y reportar las métricas de riesgo.

Administración de incidentes

Administración de riesgos/Respuesta a incidentes 5.2.1: Administración de incidentes - Plan de respuesta a incidentes

¿Existe un plan formal de respuesta a incidentes?

Especifique si existe un plan de respuesta a incidentes formal.

Administración de riesgos/Respuesta a incidentes 5.2.2: Administración de incidentes: póngase en contacto para denunciar los incidentes de seguridad (requiere certificación manual)

¿Existe un proceso para que los clientes denuncien un incidente de seguridad?

Especifique si existe un proceso para que los clientes denuncien un incidente de seguridad. En caso afirmativo, ¿cómo puede un cliente denunciar un incidente de seguridad?

Sí. Los clientes pueden denunciar los incidentes a example.com.

Administración de riesgos/Respuesta a incidentes 5.2.3: Administración de incidentes - Informe de incidentes/actividades clave

¿Denuncia las actividades clave?

¿Denuncia las actividades clave? ¿Qué sirve SLA para informar sobre las actividades clave?

Sí. Todas las actividades clave se informarán en el plazo de una semana.

Administración de riesgos/Respuesta a incidentes 5.2.4: Administración de incidentes - Recuperación de incidentes

¿Tiene planes de recuperación ante desastres?

Especifique si tiene planes de recuperación después de que se produzca un incidente. En caso afirmativo, ¿puede compartir detalles sobre los planes de recuperación?

Sí. Tras un incidente, la recuperación se realizará en un plazo de 24 horas.

Administración de riesgos/Respuesta a incidentes 5.2.5: Gestión de incidentes: los compradores pueden acceder a los registros en caso de un ataque (requiere certificación manual)

En caso de un ataque, ¿estarán a disposición de los clientes los recursos pertinentes (como registros, informes de incidentes o datos)?

¿Los clientes dispondrán de los recursos pertinentes (como registros, informes de incidentes o datos) relacionados con su uso en caso de que se produzca un ataque o incidente?

Administración de riesgos/Respuesta a incidentes 5.2.6: Administración de incidentes - Boletín de seguridad (requiere certificación manual)

¿Dispone de un boletín de seguridad que describa los últimos ataques y vulnerabilidades que afectan a sus aplicaciones?

Especifique si tiene un boletín de seguridad que describa los últimos ataques y vulnerabilidades que afectan a sus aplicaciones. En caso afirmativo, ¿puede proporcionar más detalles?

Sí. Los clientes pueden denunciar los incidentes a example.com.

Detección de incidentes

Administración de riesgos/Respuesta a incidentes 5.3.1: Detección de incidentes: registro exhaustivo

¿Existe un registro exhaustivo que permita identificar y mitigar los incidentes?

Especifique si está activado el registro integral. Identifique los tipos de eventos que el sistema es capaz de registrar. ¿Cuánto tiempo se conservan los registros?

Sí. Se registran los siguientes eventos: aplicaciones, dispositivos, Servicios de AWS etc. AWS CloudTrail AWS Config, y registros de VPC flujo. Los registros se conservan durante 1 año.

Administración de riesgos/Respuesta a incidentes 5.3.2: Detección de incidentes - Supervisión de registros

¿Supervisa y alerta sobre actividades inusuales o sospechosas mediante mecanismos de detección como la supervisión de registros?

Especifique si se realizan alertas y monitoreos de seguridad periódicos. En caso afirmativo, ¿incluye la supervisión de registros para detectar comportamientos inusuales o sospechosos?

Sí. Todos los registros se supervisan para detectar comportamientos inusuales, como varios inicios de sesión fallidos, inicios de sesión desde una ubicación geográfica inusual u otras alertas sospechosas.

Administración de riesgos/Respuesta a incidentes 5.3.3: Detección de incidentes: violación de datos por parte de terceros

¿Existe un proceso para identificar, detectar y registrar los problemas de seguridad, privacidad o violación de datos de los subcontratistas?

Especifique si existe un proceso para identificar y detectar a proveedores o subcontratistas externos en caso de violación de datos, problemas de seguridad o problemas de privacidad.

SLApara la notificación de incidentes

Gestión de riesgos/respuesta a incidentes 5.4.1: SLA para la notificación de incidentes (requiere certificación manual)

¿Qué sirve SLA para enviar notificaciones sobre incidentes o infracciones?

¿Qué sirve SLA para enviar notificaciones sobre incidentes o infracciones?

7 días

Controles de políticas de seguridad y configuración

Los controles de las políticas de seguridad y configuración evalúan las políticas de seguridad y las configuraciones de seguridad que protegen los activos de una organización. En esta tabla se enumeran los valores y las descripciones de los controles de las políticas de seguridad y configuración.

Conjunto de control Título de control Descripción del control Detalle de extracción de pruebas Valor de muestra

Políticas de seguridad de la información

Política de seguridad y configuración 10.1.1: Políticas de seguridad de la información: política de seguridad de la información

¿Tiene una política de seguridad de la información propiedad de un equipo de seguridad y mantenida por él?

Especifique si tiene una política de seguridad de la información. En caso afirmativo, comparta o cargue una prueba manual.

Sí. Construimos nuestra política de seguridad basándonos en NIST un marco.

Política de seguridad y configuración 10.1.2: Políticas de seguridad de la información: revisar política

¿Se revisan todas las políticas de seguridad anualmente?

Especifique si las políticas de seguridad se revisan anualmente. En caso negativo, ¿con qué frecuencia se revisan las políticas?

Sí. Se revisan todos los años.

Políticas de configuraciones de seguridad

Política de seguridad y configuración 10.2.1: Políticas para configuraciones de seguridad - Configuraciones de seguridad (requiere certificación manual)

¿Se mantienen y documentan los estándares de configuración de seguridad?

Especifique si se mantienen y documentan todos los estándares de configuración de seguridad. En caso afirmativo, comparta o cargue una prueba manual.

Política de seguridad y configuración 10.2.2: Políticas para las configuraciones de seguridad - Revisión de las configuraciones de seguridad (requiere certificación manual)

¿Se revisan las configuraciones de seguridad al menos una vez al año?

Especifique si las configuraciones de seguridad se revisan al menos una vez al año. Si no, especifique la frecuencia de la revisión.

Sí. Se revisan cada 3 meses.

Política de seguridad y configuración 10.2.3: Políticas para las configuraciones de seguridad: cambios en las configuraciones

¿Se registran los cambios en las configuraciones?

Especifique si los cambios de configuración están registrados. En caso afirmativo, ¿durante cuánto tiempo se conservan los registros?

Sí. Todos los cambios en las configuraciones se supervisan y registran. Se emiten alertas cuando se cambian las configuraciones. Los registros se conservan durante 6 meses.