0/23Evaluados
0Conformes
0No Conformes
0OM
Lista de Chequeo de Auditoría

Auditoría de Desarrollo Seguro — OmniControl S.A.S

Marco PHVA aplicado al ciclo de desarrollo seguro de software SaaS logístico-financiero. Norma de referencia: ISO/IEC 27001:2022 · ISO/IEC 27002:2022 · Ley 1581/2012 · OWASP · NIST SP 800-218.

Organización
OmniControl S.A.S
Software SaaS — ERP/TMS para sector logístico colombiano
Auditores
Grupo 04
Nicolás Osorio Galvis · Juan Sebastián Bermúdez
Fecha
2026-04-09
Plan de auditoría
Alcance
Desarrollo seguro
Pipeline CI/CD · DIAN/RNDC/GPS · AWS

Acerca de OmniControl

Contexto del auditado
Identificación
Razón socialOmniControl S.A.S
NIT900.XXX.XXX-X
Fundación2020
SedePereira, Risaralda (Eje Cafetero, Colombia)
Representante legalMaría Elena Ramírez
Empleados9 (100% remoto)
Modelo de negocio
ProductoERP/TMS SaaS multi-tenant
SectorTransporte de carga (Colombia)
Clientes activos60
Conductores gestionados1.247
Distribución por plan
Empresarial18
Profesional27
Básico15
Misión y visión
Misión

Ofrecer al sector logístico colombiano un ERP/TMS asequible y operativamente robusto que automatice facturación DIAN, manifiestos RNDC, telemetría GPS y nómina electrónica, reduciendo la carga administrativa de las empresas medianas de transporte.

Visión 2028

Convertirse en el referente SaaS del transporte de carga en Colombia para 2028, alcanzando 300 clientes activos y expandiéndose a Ecuador y Perú con cumplimiento regulatorio local.

Equipo (9)
  • ME
    María Elena Ramírez
    Gerente General + Representante Legal
    Tiempo completo·Dirección
  • CR
    Catalina Restrepo Mejía
    Senior
    Product Owner + Scrum Master
    Tiempo completo·Producto
  • AF
    Andrés Felipe Mora
    Senior
    Especialista Cloud AWS (consultor externo)
    Medio tiempo (40h/mes)·Infraestructura
  • DF
    Diego Felipe Quintero
    Semi-senior
    Especialista Cloud operativo
    Tiempo completo·Infraestructura
  • CA
    Carlos Andrés Gutiérrez
    Senior
    Desarrollador Fullstack + Responsable técnico de seguridad de facto
    Tiempo completo·Desarrollo
  • JP
    Juan Pablo Sánchez Ortiz
    Junior
    Desarrollador Fullstack
    Tiempo completo·Desarrollo
  • AJ
    Andrea Jiménez Vélez
    Junior
    Desarrolladora Fullstack
    Tiempo completo·Desarrollo
  • LV
    Laura Vanessa Cardona
    Junior
    Agente de soporte a clientes
    Tiempo completo·Soporte
  • SP
    Sebastián Patiño Ruiz
    Junior
    Agente de soporte a clientes
    Tiempo completo·Soporte
Stack tecnológico
Frontend
React 18Next.js 14 (legacy)TailwindCSS 3
Backend
Node.js 20Express 4Prisma ORM
Base de datos
PostgreSQL 15 (RDS Multi-AZ)
Infraestructura
AWS us-east-1ECS + FargateS3 + CloudFrontSecrets Manager + KMS
Observabilidad
CloudWatchGuardDutySentry
CI/CD
GitHub Actions
Integraciones
DIAN (catalogo-vpfe)RNDC (Mintransporte)Wialon GPSWompi (pagos)Google Workspace
Hitos recientes
  1. 2024-09
    Lanzamiento del módulo de Manifiestos RNDC integrado con Mintransporte
  2. 2025-02
    Primer cliente con plan Empresarial (>50 conductores) — Logística Andina S.A.S
  3. 2025-09
    Lanzamiento del módulo de nómina electrónica para reporte a DIAN
  4. 2026-03-15
    Aprobación del Acta SGSI-001 (criterios de aceptación de riesgo)
  5. 2026-04
    Inicio de auditoría externa de desarrollo seguro (este informe)
Marco regulatorio aplicable
  • §Ley 1581 de 2012 (protección de datos personales) — alcance Colombia
  • §Decreto 1377 de 2013
  • §Resolución DIAN 0042 de 2020 (facturación electrónica)
  • §Decreto 173 de 2001 + RNDC (transporte terrestre de carga)
  • §Circular 02 de 2015 SIC (notificación de incidentes)

Desafíos operativos identificados

  • 01Crecimiento rápido sin estructura de seguridad formal (Time-to-Market sobre Security by Design)
  • 02Concentración de funciones críticas de seguridad y administración cloud en una sola persona (Carlos Andrés Gutiérrez), pese a contar con un equipo de 9 colaboradores
  • 03Operación 100% remota desde Pereira y otras ciudades del Eje Cafetero, sin oficina física
  • 04Dependencia crítica de servicios regulatorios externos (DIAN, RNDC) sin SLA contractual ni redundancia
  • 05Modelo BYOD aplicado a los 9 colaboradores sin presupuesto inmediato para MDM/EDR corporativo
  • 06Múltiples desarrolladores (3 fullstack) con potencial acceso a base de datos productiva por ausencia de PAM

Contexto de riesgo

BYOD 100% remoto sin MDM/EDR/cifrado de disco
A.8.7 · Ley 1581 Art. 4(g)
Datos reales de producción en Staging
A.8.33 · Ley 1581 Art. 4(f)
Ausencia de SAST/DAST/SCA en CI/CD
A.8.25, A.8.28, A.8.29
Sin DPO, sin procesos ARCO, sin Aviso de Privacidad
Ley 1581 · Decreto 1377
Integraciones DIAN/RNDC con secretos sin rotación
A.8.24 · A.8.30
Sin Plan de Respuesta a Incidentes (IRP)
A.5.24 · Ley 1581 Art. 17

Planear

Contexto, partes interesadas y requisitos4 controles
P-01
Pendiente
ISO 27001 Cláusula 5.2 / 5.3
¿La Alta Dirección ha aprobado formalmente una Política de Seguridad de la Información y ha designado un DPO/responsable SGSI mediante acto administrativo documentado?
Entrevista
Revisión documental
P-02
Pendiente
A.8.25 / A.5.8 ISO 27002:2022 + OWASP SAMM
¿Se ejecuta Threat Modeling formal (STRIDE o similar) para la arquitectura del ERP/TMS y módulos críticos (DIAN, RNDC, GPS) durante la fase de planificación de features?
Entrevista
Revisión documental
P-03
Pendiente
Ley 1581/2012 Art. 23 / Decreto 1377/2013 Art. 23
¿Existe un flujo técnico automatizado para atender derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) sin requerir manipulación manual de bases de datos? ¿El registro de nuevos terceros captura consentimiento expreso (opt-in)?
Prueba
Entrevista
P-04
Pendiente
A.8.1 ISO 27002:2022
¿OmniControl mantiene un inventario formal y actualizado de información y otros activos asociados (software, APIs, repositorios, datos, llaves criptográficas, dominios) con propietario, criticidad y clasificación?
Revisión documental
Entrevista

Hacer

Implementación de controles de desarrollo seguro9 controles
H-01
Pendiente
A.8.25 / A.8.28 ISO 27002:2022 + OWASP SAMM
¿El pipeline de CI/CD bloquea automáticamente despliegues cuando faltan controles de seguridad obligatorios (SAST, SCA) o existen hallazgos críticos sin remediar?
Prueba
H-03
Pendiente
A.8.26 / A.8.29 ISO 27002:2022 + OWASP API Security Top 10
¿Los endpoints críticos de las APIs (autenticación, manifiestos RNDC, documentos DIAN) implementan autenticación fuerte, rate limiting efectivo y rechazan entradas inválidas y ataques de inyección?
Prueba
H-02
Pendiente
A.8.25 / A.8.33 ISO 27002:2022 + NIST SP 800-218 + Ley 1581 Art. 4(f)
¿El ambiente de Staging opera únicamente con datos anonimizados/pseudonimizados y existe una rutina técnica automatizada de Data Masking para poblar dicho ambiente?
Prueba
Entrevista
H-04
Pendiente
A.8.5 ISO 27002:2022 + OWASP ASVS 2.8 + Ley 1581 Art. 4(g)
¿La plataforma ERP/TMS ofrece o exige autenticación multifactor (MFA) a los usuarios finales de los 60 clientes para acceder a módulos sensibles (facturación, nómina, gestión de flota GPS)?
Prueba
Entrevista
H-05
Pendiente
A.8.24 / A.8.28 ISO 27002:2022
¿La criptografía aplicada en tránsito y reposo está correctamente implementada para componentes críticos del SDLC (TLS, HSTS, RDS cifrado, llaves DIAN custodiadas en KMS)?
Prueba
H-09
Pendiente
A.8.24 ISO 27002:2022 (cifrado en tránsito)
¿La aplicación expone únicamente protocolos TLS modernos (1.2 y 1.3) con cipher suites robustos, certificado vigente válidamente firmado y sin vulnerabilidades conocidas (Heartbleed, POODLE, BEAST, etc.)?
Prueba
H-06
Pendiente
A.8.4 ISO 27002:2022
¿El acceso al código fuente está gobernado conforme a buenas prácticas: lista de miembros y roles documentada, CODEOWNERS para módulos sensibles, política de tokens con expiración, política de forks, y registro de cambios en accesos?
Prueba
Revisión documental
H-07
Pendiente
A.8.12 ISO 27002:2022 + Ley 1581 Art. 4(g)
¿Existen controles técnicos de Prevención de Fuga de Datos (DLP) en los endpoints del equipo BYOD que acceden a datos de los 60 clientes (bloqueo de USB, restricción de portapapeles, control de sincronización a servicios personales, restricción de descargas masivas)?
Prueba
Observación
H-08
Pendiente
A.8.18 ISO 27002:2022
¿El uso de utilidades y privilegios administrativos en producción está gobernado mediante un mecanismo de PAM (Privileged Access Management) con sesiones acotadas, credenciales temporales, procedimiento de break-glass y registro auditable?
Prueba
Revisión documental

Verificar

Evaluación y monitoreo de controles6 controles
V-01
Pendiente
A.8.29 ISO 27002:2022 + OWASP Testing Guide v4.2
¿Se ejecutan pruebas de seguridad dinámicas (DAST) sobre la versión candidata como gate obligatorio antes de liberar a producción?
Prueba
Revisión documental
V-02
Pendiente
A.8.29 ISO 27002:2022 + OWASP API Security Top 10 (2023)
¿Los endpoints críticos de la API resisten ataques de abuso funcional: enumeración de recursos, manipulación de parámetros de tenant y Broken Object Level Authorization (BOLA/IDOR)?
Prueba
V-03
Pendiente
A.8.13 ISO 27002:2022
¿Se prueba periódicamente la restauración de backups de bases de datos y artefactos críticos, con evidencia de tiempo de recuperación real contrastado contra RPO/RTO definidos?
Prueba
Revisión documental
V-04
Pendiente
ISO 27001 Cláusula 9.1 + A.8.16
¿Se miden y presentan mensualmente KPIs de seguridad para desarrollo seguro (MTTD, MTTR, vulnerabilidades abiertas por severidad, cumplimiento de remediación)?
Revisión documental
V-05
Pendiente
A.8.8 ISO 27002:2022
¿Existe un proceso formal de gestión de vulnerabilidades técnicas (no solo herramientas) que cubra: registro centralizado, clasificación de severidad, SLA de remediación, gestión de excepciones con riesgo aceptado, reevaluación periódica y reporting?
Prueba
Revisión documental
V-06
Pendiente
A.8.16 ISO 27002:2022 (monitoreo de actividades)
¿Existen mecanismos técnicos activos de monitoreo de actividades (CloudTrail, GuardDuty, Sentry) que registren eventos relevantes de seguridad y operación con retención apropiada?
Prueba

Actuar

Mejora continua y gobernanza4 controles
A-01
Pendiente
Ley 1581 Art. 17 / ISO 27001 Cláusula 6.1.3
¿Existe un Plan de Respuesta a Incidentes Cibernéticos (IRP) documentado y probado, con protocolo de notificación a clientes ante brechas de datos conforme a Ley 1581?
Entrevista
Revisión documental
A-02
Pendiente
A.8.24 ISO 27002:2022 + Complementario gestión de secretos
¿Las credenciales críticas (DIAN, RNDC, GPS, bases de datos) están custodiadas exclusivamente en AWS Secrets Manager con rotación automatizada documentada, sin copias en archivos locales BYOD ni en el repositorio?
Prueba
A-04
Pendiente
ISO 27001 Cláusula 6.1.2 + A.5.8 ISO 27002:2022
¿Existe un Acta SGSI con criterios de aceptación de riesgo aprobados por la Dirección, que defina niveles de tolerancia, responsables de aceptar excepciones y revisión periódica de los riesgos aceptados?
Revisión documental
Entrevista
A-03
Pendiente
A.5.24 / A.5.5 ISO 27002:2022
¿Existe una política de divulgación responsable (Responsible Disclosure) que defina cómo OmniControl recibe, procesa y responde a reportes de vulnerabilidades de investigadores externos o clientes?
Prueba
Revisión documental