A.8.24 ISO 27002:2022 + Complementario gestión de secretos
¿Las credenciales críticas (DIAN, RNDC, GPS, bases de datos) están custodiadas exclusivamente en AWS Secrets Manager con rotación automatizada documentada, sin copias en archivos locales BYOD ni en el repositorio?
Inspeccionar el repositorio omnicontrol-erp en GitHub: navegar el árbol de archivos buscando archivos .env, secrets.json o credenciales hardcodeadas. En paralelo, abrir AWS Secrets Manager y verificar el inventario de secretos: cuáles están registrados, frecuencia de rotación y última fecha de rotación efectiva. Validar consistencia entre secretos en el repo vs en Secrets Manager.
Captura del árbol de archivos del repositorio mostrando si existen archivos .env. Captura de AWS Secrets Manager con el inventario completo y estado de rotación. Si se encuentran credenciales hardcodeadas en el código, constituye no conformidad crítica.
La Matriz de OmniControl documenta para DIAN: 'custodiar la llave privada del certificado digital en AWS KMS con acceso restringido. Migrar credenciales DIAN, RNDC y GPS a AWS Secrets Manager, eliminando contraseñas en texto plano del código fuente'. La llave DIAN sin control es riesgo Catastrófico.
- 01¿Hay archivos .env, secrets.json o credenciales hardcodeadas en el repositorio?
- 02¿GitHub Secret Scanning está habilitado?
- 03¿Todos los secretos críticos están en AWS Secrets Manager?
- 04¿Existe rotación automática programada para cada secreto?
- 05¿Las credenciales que vienen del repo coinciden con producción o son distintas?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.