ISMS Copilot
Documentación del SGSI

Política de Gestión de Cambios

ISMS Copilot mantiene una política formal de gestión de cambios para garantizar que todos los cambios en nuestros sistemas de producción sean revisados, probados y desplegados de forma segura. Nuestro proceso equilibra los requisitos de seguridad y cumplimiento con la necesidad de una iteración rápida.

Nuestra política de gestión de cambios se integra directamente con nuestro flujo de trabajo de GitHub y el pipeline CI/CD para una aplicación automatizada.

Tipos de Cambios

Categorizamos los cambios en tres tipos según el riesgo y el impacto:

  • Cambios Estándar — Cambios preaprobados de bajo riesgo, como actualizaciones de documentación, parches de dependencias y actualizaciones de configuración rutinarias. Estos pueden fusionarse automáticamente una vez superadas las comprobaciones automatizadas.

  • Cambios Normales — Adiciones de funciones, modificaciones del esquema de la base de datos, cambios en la API y actualizaciones de seguridad. Requieren un proceso de revisión completo con al menos una aprobación antes del despliegue.

  • Cambios de Emergencia — Vulnerabilidades de seguridad críticas, interrupciones del servicio o problemas de integridad de los datos. Siguen un proceso de aprobación expedito manteniendo el rastro de auditoría y la revisión posterior al despliegue.

Flujo de Trabajo de Aprobación

Nuestro proceso de cambio estándar sigue estos pasos:

  1. Creación de Issue en GitHub — Solicitud de cambio documentada con justificación y evaluación de impacto

  2. Rama y Pull Request — Cambios de código desarrollados en una rama de funciones con una PR descriptiva

  3. Pruebas Automatizadas — El pipeline de CI ejecuta pruebas automatizadas que incluyen pruebas unitarias, de integración y escaneos de seguridad

  4. Revisión por Pares — Al menos un miembro del equipo revisa el código, la arquitectura y las implicaciones de seguridad

  5. Aprobación y Fusión — Cambios aprobados fusionados en la rama principal

  6. Despliegue Automatizado — Cambios desplegados automáticamente a producción a través de nuestro pipeline CI/CD (Supabase, Fly.io, Vercel)

Los cambios de emergencia siguen una ruta expedita pero mantienen el rastro de auditoría y requieren una revisión posterior al despliegue en un plazo de 24 horas.

Pruebas y Filtros de Calidad

Antes de que cualquier cambio llegue a producción, nuestro pipeline de CI automatizado impone:

  • Ejecución de la suite de pruebas automatizadas

  • Validación de migración de base de datos en el entorno CI de Supabase

  • Análisis estático de código y escaneo de seguridad

  • Verificación de compilación (build) para todos los destinos de despliegue

Reversión y Recuperación

Nuestra política de gestión de cambios incluye procedimientos de reversión (rollback) para despliegues fallidos. Mantenemos la capacidad de revertir cambios rápidamente preservando la integridad de los datos y la disponibilidad del sistema.

Todos los cambios se rastrean en GitHub con un historial de auditoría completo que incluye aprobadores, marcas de tiempo y justificación del cambio.

Gestión de Secretos y Configuración

Los cambios que involucran secretos, claves de API o configuración sensible siguen controles de seguridad adicionales más allá de los procedimientos de cambio estándar para evitar la exposición de credenciales.

¿Te fue útil?