Declaración de Aplicabilidad (SoA)
La Declaración de Aplicabilidad (SoA por sus siglas en inglés) identifica qué controles del Anexo A de la norma ISO/IEC 27001:2022 son aplicables a ISMS Copilot, justifica la inclusión o exclusión de cada control y describe cómo se implementan los controles aplicables. Es un resultado obligatorio de nuestro proceso de tratamiento de riesgos.
Este documento sigue la cláusula 6.1.3 d) de la norma ISO 27001:2022. Cada control está marcado como Sí (aplicable e implementado), Parcial (aplicable, implementación en curso) o N/A (no aplicable, exclusión justificada).
Estadísticas de Resumen
Categoría | Total de Controles | Aplicables | Parciales | N/A |
|---|---|---|---|---|
A.5 Organizativos | 37 | 35 | 2 | 0 |
A.6 Personas | 8 | 7 | 1 | 0 |
A.7 Físicos | 14 | 1 | 0 | 13 |
A.8 Tecnológicos | 34 | 28 | 5 | 1 |
Total | 93 | 71 | 8 | 14 |
71 controles son totalmente aplicables e implementados, 8 están parcialmente implementados (en curso) y 14 no son aplicables — principalmente controles físicos excluidos porque ISMS Copilot es una plataforma SaaS de alojamiento en la nube y totalmente remota, sin oficina física ni centro de datos propio.
Controles Organizativos (A.5)
# | Control | Estado | Resumen de Implementación |
|---|---|---|---|
A.5.1 | Políticas para la seguridad de la información | Sí | Conjunto completo de políticas que cubren todos los dominios del SGSI |
A.5.2 | Roles y responsabilidades para la seguridad de la información | Sí | Roles definidos en todas las políticas con una clara rendición de cuentas |
A.5.3 | Segregación de funciones | Parcial | Limitada por el tamaño del equipo; mitigada por revisiones de acceso dual y requisitos de aprobación de PR |
A.5.4 | Responsabilidades de la dirección | Sí | El CEO es el propietario del SGSI con responsabilidad general |
A.5.5 | Contacto con las autoridades | Sí | Contactos regulatorios documentados; procedimientos de notificación a la CNIL definidos |
A.5.6 | Contacto con grupos de interés especial | Sí | Monitoreo de comunidades de seguridad y avisos de proveedores |
A.5.7 | Inteligencia de amenazas | Sí | Programa activo de inteligencia de amenazas con revisiones semanales |
A.5.8 | Seguridad de la información en la gestión de proyectos | Sí | Seguridad considerada en todo el desarrollo de funciones mediante el proceso de gestión de cambios |
A.5.9 | Inventario de información y otros activos asociados | Sí | Mantenimiento de inventarios de infraestructura y datos |
A.5.10 | Uso aceptable de la información y otros activos asociados | Sí | Reglas de uso aceptable para todos los activos de información, plataformas, datos y herramientas de IA |
A.5.11 | Devolución de activos | Sí | Procedimientos de baja (offboarding) para la revocación de accesos |
A.5.12 | Clasificación de la información | Sí | Esquema de clasificación de cuatro niveles (Público, Interno, Confidencial, Restringido) |
A.5.13 | Etiquetado de la información | Sí | Etiquetas de clasificación en todos los documentos de políticas y GRC |
A.5.14 | Transferencia de información | Sí | TLS forzado en todas las rutas de transferencia; procedimientos de transferencia documentados |
A.5.15 | Control de acceso | Sí | Política integral de control de acceso con RLS, validación JWT y protectores de ruta |
A.5.16 | Gestión de identidad | Sí | Supabase Auth para usuarios; cuentas de plataforma para operadores |
A.5.17 | Información de autenticación | Sí | MFA obligatorio para operadores; estándares de contraseñas definidos |
A.5.18 | Derechos de acceso | Sí | Revisiones trimestrales de acceso; procedimientos de alta y baja |
A.5.19 | Seguridad de la información en las relaciones con proveedores | Sí | Política de gestión de proveedores que cubre a todos los proveedores de la nube |
A.5.20 | Abordar la seguridad de la información en los acuerdos con proveedores | Sí | DPAs y requisitos contractuales con todos los proveedores |
A.5.21 | Gestión de la seguridad de la información en la cadena de suministro de las TIC | Sí | Gestión de dependencias mediante Dependabot; monitoreo de vulnerabilidades |
A.5.22 | Monitoreo, revisión y gestión del cambio de servicios de proveedores | Sí | Monitoreo continuo de proveedores y seguimiento del desempeño |
A.5.23 | Seguridad de la información para el uso de servicios en la nube | Sí | Arquitectura nativa de la nube con modelo de responsabilidad compartida documentado |
A.5.24 | Planeación y preparación de la gestión de incidentes de seguridad de la información | Sí | Manual de respuesta a incidentes con procedimientos definidos por escenario |
A.5.25 | Evaluación y decisión sobre eventos de seguridad de la información | Sí | Sistema de clasificación de severidad para eventos de seguridad |
A.5.26 | Respuesta a incidentes de seguridad de la información | Sí | Manuales de respuesta para cada escenario de incidente |
A.5.27 | Aprendizaje de los incidentes de seguridad de la información | Sí | Revisión post-incidente con seguimiento de NC/OFI y lecciones aprendidas |
A.5.28 | Recopilación de evidencia | Sí | Procedimientos de retención de registros y preservación de evidencia |
A.5.29 | Seguridad de la información durante interrupciones | Sí | Plan de continuidad de negocio y recuperación ante desastres con procedimientos de recuperación definidos |
A.5.30 | Preparación de las TIC para la continuidad del negocio | Sí | Procedimientos de recuperación documentados para cada servicio; manual de arranque mantenido |
A.5.31 | Requisitos legales, estatutarios, regulatorios y contractuales | Sí | Registro legal mantenido y revisado |
A.5.32 | Derechos de propiedad intelectual | Sí | Pautas de PI documentadas; sin texto de estándares con derechos de autor en los datos de entrenamiento |
A.5.33 | Protección de registros | Sí | Plazos de retención definidos para todas las categorías de datos |
A.5.34 | Privacidad y protección de PII | Sí | Documentación completa de cumplimiento de GDPR (RoPA, DPIA, TIA, procedimientos de DSR) |
A.5.35 | Revisión independiente de la seguridad de la información | Parcial | Programa de auditoría interna establecido; auditoría externa planeada para la certificación |
A.5.36 | Cumplimiento con políticas, reglas y estándares | Sí | Aplicado mediante revisiones de PR, pruebas automatizadas y programa de auditoría |
A.5.37 | Procedimientos operativos documentados | Sí | Procedimientos operativos documentados y con control de versiones |
Controles de Personas (A.6)
# | Control | Status | Resumen de Implementación |
|---|---|---|---|
A.6.1 | Selección | Parcial | Equipo fundador; proceso de selección formal documentado para futuras contrataciones |
A.6.2 | Términos y condiciones de empleo | Sí | Responsabilidades de seguridad comunicadas y aceptadas antes de conceder el acceso |
A.6.3 | Concienciación, educación y formación en seguridad de la información | Sí | Programa de competencia y concienciación establecido |
A.6.4 | Proceso disciplinario | Sí | Proceso disciplinario gradual definido |
A.6.5 | Responsabilidades después de la terminación o cambio de empleo | Sí | Procedimiento de baja con plazos y obligaciones continuas |
A.6.6 | Acuerdos de confidencialidad o no divulgación | Sí | Alcance de confidencialidad y mecanismos contractuales definidos |
A.6.7 | Trabajo remoto | Sí | Requisitos de seguridad para el trabajo remoto aplicados a un equipo totalmente remoto |
A.6.8 | Reporte de eventos de seguridad de la información | Sí | Canales de reporte definidos; archivo SECURITY.md público para reporteros externos |
Controles Físicos (A.7)
# | Control | Status | Justificación |
|---|---|---|---|
A.7.1 | Perímetros de seguridad física | N/A | Sin oficina física ni centro de datos; toda la infraestructura está alojada en la nube |
A.7.2 | Entrada física | N/A | Sin instalaciones físicas; seguridad física gestionada por el proveedor |
A.7.3 | Asegurar oficinas, salas e instalaciones | N/A | Sin oficinas; gestionado por el proveedor |
A.7.4 | Monitoreo de seguridad física | N/A | Sin activos físicos; gestionado por el proveedor |
A.7.5 | Protección contra amenazas físicas y ambientales | N/A | Sin infraestructura física; los centros de datos del proveedor se encargan de esto |
A.7.6 | Trabajo en áreas seguras | N/A | Sin áreas seguras |
A.7.7 | Escritorio limpio y pantalla limpia | Sí | Principios de pantalla limpia aplicados al contexto de trabajo remoto |
A.7.8 | Ubicación y protección de equipos | N/A | Sin equipos de la organización; el uso de dispositivos personales (BYOD) queda fuera del alcance |
A.7.9 | Seguridad de los activos fuera de las instalaciones | N/A | No se retiran activos de la organización fuera de las instalaciones |
A.7.10 | Soportes de almacenamiento | N/A | Sin soportes de almacenamiento de la organización; todos los datos están en servicios de nube |
A.7.11 | Suministros básicos | N/A | Sin infraestructura en las instalaciones |
A.7.12 | Seguridad del cableado | N/A | Sin infraestructura en las instalaciones |
A.7.13 | Mantenimiento de equipos | N/A | Sin equipos de la organización |
A.7.14 | Eliminación segura o reutilización de equipos | N/A | Sin equipos de la organización |
Controles Tecnológicos (A.8)
# | Control | Estado | Resumen de Implementación |
|---|---|---|---|
A.8.1 | Dispositivos de usuario final | Parcial | Antivirus en el dispositivo del CEO; los controles de capa de aplicación (MFA, JWT, RLS) compensan la limitada aplicación en dispositivos finales para colaboradores externos |
A.8.2 | Derechos de acceso privilegiado | Sí | Claves de rol de servicio y acceso de administrador bajo controles estrictos |
A.8.3 | Restricción de acceso a la información | Sí | Seguridad a Nivel de Fila (RLS), validación JWT, protectores de ruta |
A.8.4 | Acceso al código fuente | Sí | Acceso al repositorio de GitHub controlado; se requiere revisión de PR para todos los cambios |
A.8.5 | Autenticación segura | Sí | MFA para operadores; JWT para usuarios; opciones de OAuth disponibles |
A.8.6 | Gestión de capacidad | Sí | Límites de tokens por plan; limitación de tasa (rate limiting); monitoreo de uso |
A.8.7 | Protección contra malware | Parcial | Validación de formato de archivo para cargas; no se procesa código ejecutable |
A.8.8 | Gestión de vulnerabilidades técnicas | Sí | Programa de gestión de vulnerabilidades con Dependabot y SLAs definidos |
A.8.9 | Gestión de configuración | Sí | Configuración como código; definiciones de infraestructura con control de versiones |
A.8.10 | Eliminación de información | Sí | Eliminación automatizada; periodos de retención configurables por el usuario |
A.8.11 | Enmascaramiento de datos | Sí | Restricciones de registro y limpieza de PII en el seguimiento de errores |
A.8.12 | Prevención de fuga de datos | Sí | SystemPromptGuard; restricciones de registro; Política de Seguridad de Contenido (CSP) |
A.8.13 | Respaldo de información | Sí | Recuperación en Punto en el Tiempo (PITR) para la base de datos de producción; respaldos diarios |
A.8.14 | Redundancia de las instalaciones de procesamiento de información | Parcial | Failover de IA con múltiples proveedores; redundancia de base de datos gestionada; puntos únicos conocidos documentados |
A.8.15 | Registro (Logging) | Sí | Registro estructurado a través de múltiples fuentes |
A.8.16 | Actividades de monitoreo | Sí | Uptime de BetterStack, errores de Sentry, analíticas de PostHog, alertas de seguridad |
A.8.17 | Sincronización del reloj | Sí | NTP gestionado por la plataforma en todos los servicios de nube |
A.8.18 | Uso de programas de utilidad privilegiados | N/A | Sin acceso tradicional a servidores; permisos de ejecución de Deno limitados |
A.8.19 | Instalación de software en sistemas operativos | Sí | Controlado mediante pipelines de CI/CD y compilaciones basadas en contenedores |
A.8.20 | Seguridad de redes | Sí | Todas las rutas de comunicación aseguradas con TLS |
A.8.21 | Seguridad de los servicios de red | Sí | TLS 1.2+ en todos los servicios; seguridad de red gestionada por el proveedor |
A.8.22 | Segregación de redes | Sí | Segregación lógica mediante proveedores y entornos separados |
A.8.23 | Filtrado web | Parcial | La Política de Seguridad de Contenido restringe las conexiones frontend; los permisos de ejecución restringen el backend |
A.8.24 | Uso de criptografía | Sí | TLS 1.2+ forzado en todas las rutas; cifrado en reposo mediante Supabase |
A.8.25 | Ciclo de vida de desarrollo seguro | Sí | Seguridad integrada en cada fase del SDLC; TDD obligatorio |
A.8.26 | Requisitos de seguridad de las aplicaciones | Sí | Análisis de requisitos de seguridad antes de codificar; revisión de cambios sensibles |
A.8.27 | Principios de ingeniería y arquitectura de sistemas seguros | Sí | Principios de arquitectura documentados; modelado de amenazas para nuevas funciones |
A.8.28 | Codificación segura | Sí | Estándares de codificación, patrones prohibidos, controles de codificación asistida por IA |
A.8.29 | Pruebas de seguridad en el desarrollo y aceptación | Sí | TDD, suite de pruebas automatizadas (unitaria/seguridad/UI), filtros de CI |
A.8.30 | Desarrollo subcontratado | Parcial | Desarrollo asistido por IA gobernado por pautas específicas; sin desarrolladores humanos externos |
A.8.31 | Separación de los entornos de desarrollo, prueba y producción | Sí | Proyectos de base de datos, instancias de aplicación y objetivos de despliegue separados por entorno |
A.8.32 | Gestión del cambio | Sí | Proceso completo de gestión de cambios con aplicación automatizada por CI/CD |
A.8.33 | Información de prueba | Sí | Los datos de producción nunca se copian a desarrollo; solo se usan datos de prueba sintéticos |
A.8.34 | Protección de los sistemas de información durante las pruebas de auditoría | Sí | Pruebas de auditoría en entornos separados; acceso de auditoría de solo lectura |
ISMS Copilot aborda 79 de los 93 controles del Anexo A (total o parcialmente), con 14 controles justificadamente excluidos por no ser aplicables a nuestro modelo operativo totalmente remoto y alojado en la nube. Los controles físicos (A.7) son gestionados principalmente por nuestros proveedores de infraestructura en la nube (Supabase, Fly.io, Vercel) bajo sus propias certificaciones SOC 2 e ISO 27001.
Revisión
Esta Declaración de Aplicabilidad se revisa anualmente, cuando cambia el alcance del SGSI, cuando las decisiones de tratamiento de riesgos modifican el conjunto de controles requeridos, después de incidentes de seguridad significativos y como parte de la revisión anual por la dirección.