Ir al contenido
Stein · Referencia operativa

Tipos de análisis de seguridad y SLA de atención

Referencia para solicitudes de revisión, evaluación técnica, análisis contractual, validación de cambios y diseño de controles de seguridad.

Nota importante: los tiempos indicados aplican a partir de que se cuenta con la información mínima necesaria para realizar el análisis. En caso de información incompleta, ambigua o cambios de alcance, el SLA podrá ajustarse conforme al alcance real del caso.
Tipo de análisis Descripción SLA estimado ¿Para qué se recomienda? Insumos requeridos Exclusiones Entregable
Análisis de contrato
Contractual
Revisión del contrato desde la perspectiva de seguridad para identificar riesgos, vacíos de responsabilidad, obligaciones operativas y dependencias con terceros.
  • 1–10 páginas: 5 días hábiles
  • 10–30 páginas: 7 días hábiles
  • Más de 30 páginas: se define alcance
Para contratos críticos que involucren tecnología, datos sensibles, servicios operativos relevantes, proveedores externos o responsabilidades compartidas.
  • Contrato completo.
  • Contexto de la solución: qué hace, quién la opera y qué información procesa.
  • No incluye validación técnica profunda de arquitectura, aplicaciones o servicios.
  • No sustituye auditoría técnica.
  • No implica aprobación legal del contrato.
Recomendaciones y cláusulas de seguridad sugeridas para fortalecer el contrato.
Revisión rápida
Nivel 1
Evaluación general del diagrama, descripción o solución para identificar riesgos evidentes sin validación técnica profunda. 24–48 horas hábiles Para decisiones rápidas, revisiones preliminares o identificación temprana de riesgos.
  • Diagrama o descripción básica.
  • Objetivo de negocio.
  • Componentes principales conocidos.
  • No incluye validación técnica profunda.
  • No incluye revisión de configuraciones.
  • No incluye pruebas técnicas.
  • No se emite dictamen formal de aprobación o rechazo.
Comentarios generales, riesgos potenciales y recomendaciones preliminares.
Análisis de componentes
Nivel 2
Revisión técnica de componentes clave, como POS, red, accesos, integraciones, flujos de información o servicios involucrados, para identificar riesgos y controles necesarios. 3–5 días hábiles Cuando existe impacto técnico real en POS, integraciones, red, accesos, procesamiento de información o exposición de servicios.
  • Arquitectura detallada.
  • Componentes involucrados.
  • Flujo de datos.
  • Roles, accesos o integraciones relevantes.
  • No incluye validación contractual.
  • No incluye pruebas técnicas tipo pentest.
  • No se emite dictamen formal de aprobación o rechazo, salvo que se acuerde expresamente.
Observaciones técnicas, riesgos identificados y recomendaciones de control.
Evaluación formal de solución
Nivel 3
Evaluación completa de la solución considerando arquitectura, controles, riesgos, exposición, roles, accesos, flujos de información y cumplimiento aplicable, como PCI DSS u otros marcos de referencia. 5–10 días hábiles Para decisiones críticas, aprobaciones formales, implementaciones productivas o soluciones con impacto relevante en seguridad, operación o cumplimiento.
  • Arquitectura completa.
  • Flujos de información.
  • Roles y accesos.
  • Documentación técnica.
  • Controles existentes.
  • Contexto operativo y de cumplimiento aplicable.
  • No sustituye una auditoría formal.
  • Se basa en la información proporcionada.
  • No garantiza ausencia de vulnerabilidades.
  • No sustituye pruebas técnicas especializadas, salvo que se acuerden como alcance adicional.
Dictamen formal con diagnóstico sugerido, aprobación condicionada, rechazo o recomendaciones necesarias, según corresponda.
Evaluación de proveedor / SaaS
Terceros
Análisis del proveedor o plataforma externa, considerando controles declarados, certificaciones, arquitectura, riesgos operativos, responsabilidades compartidas y dependencia del servicio. 5–10 días hábiles Antes de integrar servicios externos, plataformas SaaS, proveedores tecnológicos o soluciones que procesen información relevante.
  • Información del proveedor.
  • Certificaciones disponibles, si existen.
  • Arquitectura de alto nivel.
  • Descripción del servicio.
  • Modelo de responsabilidad compartida, si existe.
  • No incluye auditoría directa al proveedor.
  • Depende de la información disponible o entregada por el proveedor.
  • No garantiza la efectividad real de los controles declarados.
Evaluación de riesgo del proveedor y recomendación de uso, condicionamiento o mitigación.
Validación de modificaciones
Control operativo
Revisión puntual de cambios sobre soluciones previamente evaluadas, como nuevos accesos, componentes, integraciones, flujos o ajustes operativos. 2–3 días hábiles Cuando una solución ya fue revisada o aprobada y se requiere validar el impacto de un cambio específico.
  • Descripción del cambio.
  • Impacto esperado.
  • Componentes afectados.
  • Antecedente de la evaluación previa.
  • No reevalúa toda la solución.
  • No sustituye una evaluación completa.
  • No cubre cambios no documentados o fuera del alcance informado.
Evaluación del impacto del cambio, riesgos identificados y condiciones sugeridas, en su caso.
Diseño de arquitectura de seguridad
Definición de controles
Definición de controles de seguridad sobre la arquitectura de una solución, considerando componentes, flujos de comunicación, exposición, accesos, segmentación y controles preventivos o detectivos recomendados. Se define según alcance, tamaño, complejidad e integraciones de la solución. Cuando se requiere definir cómo debe protegerse una solución desde diseño o establecer controles sobre una arquitectura propuesta. Se definen según el alcance del caso y la información disponible. Pueden incluir, según aplique, diagramas, configuraciones, trazas de red, documentación técnica, flujos de información u otra evidencia técnica relevante.
  • No incluye implementación de controles.
  • No incluye operación de la solución.
  • No sustituye una validación o evaluación posterior.
  • No incluye detalles específicos de implementación cuando dependan de tecnologías, fabricantes o equipos externos no incluidos en el alcance.
Propuesta de controles de seguridad, observaciones sobre la arquitectura y consideraciones para su implementación.

Consideraciones generales

Los SLA indicados son estimaciones de atención y análisis, no compromisos de resolución técnica, aprobación automática o implementación de controles.

El tiempo de atención inicia cuando se cuenta con la información mínima necesaria para analizar el caso. Si durante la revisión se identifica que faltan elementos relevantes, se podrán solicitar aclaraciones o insumos adicionales, y el SLA podrá ajustarse conforme al alcance real.

Las recomendaciones, observaciones o dictámenes emitidos se basan en la información proporcionada al momento del análisis. La ausencia de observaciones no debe interpretarse como ausencia total de riesgos, vulnerabilidades o incumplimientos.

Cuando el caso requiera pruebas técnicas, auditoría formal, validación de configuraciones, revisión de código, pentest, análisis forense o implementación de controles, deberá definirse un alcance específico adicional.