A.8.24 / A.8.28 ISO 27002:2022
¿La criptografía aplicada en tránsito y reposo está correctamente implementada para componentes críticos del SDLC (TLS, HSTS, RDS cifrado, llaves DIAN custodiadas en KMS)?
Ejecutar `testssl.sh` o equivalente sobre el endpoint público app.omnicontrol.co y verificar configuración de TLS, cipher suites, certificado y cabeceras HSTS. En la consola AWS, revisar instancias RDS para confirmar que el cifrado en reposo con KMS está habilitado en todas. Inspeccionar AWS KMS para confirmar que la llave privada del certificado DIAN está custodiada con política de acceso restringida.
Reporte de TLS Scanner con clasificación general (A/B/C/F). Captura de la consola RDS mostrando estado de cifrado por instancia. Captura de AWS KMS mostrando la llave dian-firma-electronica con su política de acceso. Trazabilidad de eventos de uso de la llave en CloudTrail.
Para OmniControl, la protección criptográfica de integraciones regulatorias y datos multi-tenant es esencial para cumplimiento y resiliencia operativa. La llave privada del certificado DIAN sin custodia adecuada constituye riesgo Catastrófico según la Matriz de Partes Interesadas.
- 01¿TLS 1.0 y 1.1 están deshabilitados? ¿Hay protocolos débiles activos?
- 02¿La cabecera Strict-Transport-Security (HSTS) está configurada con preload?
- 03¿Todas las instancias RDS tienen cifrado en reposo activo con KMS?
- 04¿La llave DIAN tiene política IAM con principio de mínimo privilegio?
- 05¿Hay rotación automática programada de la llave KMS?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.