Tipos de análisis de seguridad y SLA de atención
Referencia para solicitudes de revisión, evaluación técnica, análisis contractual, validación de cambios y diseño de controles de seguridad.
| Tipo de análisis | Descripción | SLA estimado | ¿Para qué se recomienda? | Insumos requeridos | Exclusiones | Entregable |
|---|---|---|---|---|---|---|
|
Análisis de contrato
Contractual |
Revisión del contrato desde la perspectiva de seguridad para identificar riesgos, vacíos de responsabilidad, obligaciones operativas y dependencias con terceros. |
|
Para contratos críticos que involucren tecnología, datos sensibles, servicios operativos relevantes, proveedores externos o responsabilidades compartidas. |
|
|
Recomendaciones y cláusulas de seguridad sugeridas para fortalecer el contrato. |
|
Revisión rápida
Nivel 1 |
Evaluación general del diagrama, descripción o solución para identificar riesgos evidentes sin validación técnica profunda. | 24–48 horas hábiles | Para decisiones rápidas, revisiones preliminares o identificación temprana de riesgos. |
|
|
Comentarios generales, riesgos potenciales y recomendaciones preliminares. |
|
Análisis de componentes
Nivel 2 |
Revisión técnica de componentes clave, como POS, red, accesos, integraciones, flujos de información o servicios involucrados, para identificar riesgos y controles necesarios. | 3–5 días hábiles | Cuando existe impacto técnico real en POS, integraciones, red, accesos, procesamiento de información o exposición de servicios. |
|
|
Observaciones técnicas, riesgos identificados y recomendaciones de control. |
|
Evaluación formal de solución
Nivel 3 |
Evaluación completa de la solución considerando arquitectura, controles, riesgos, exposición, roles, accesos, flujos de información y cumplimiento aplicable, como PCI DSS u otros marcos de referencia. | 5–10 días hábiles | Para decisiones críticas, aprobaciones formales, implementaciones productivas o soluciones con impacto relevante en seguridad, operación o cumplimiento. |
|
|
Dictamen formal con diagnóstico sugerido, aprobación condicionada, rechazo o recomendaciones necesarias, según corresponda. |
|
Evaluación de proveedor / SaaS
Terceros |
Análisis del proveedor o plataforma externa, considerando controles declarados, certificaciones, arquitectura, riesgos operativos, responsabilidades compartidas y dependencia del servicio. | 5–10 días hábiles | Antes de integrar servicios externos, plataformas SaaS, proveedores tecnológicos o soluciones que procesen información relevante. |
|
|
Evaluación de riesgo del proveedor y recomendación de uso, condicionamiento o mitigación. |
|
Validación de modificaciones
Control operativo |
Revisión puntual de cambios sobre soluciones previamente evaluadas, como nuevos accesos, componentes, integraciones, flujos o ajustes operativos. | 2–3 días hábiles | Cuando una solución ya fue revisada o aprobada y se requiere validar el impacto de un cambio específico. |
|
|
Evaluación del impacto del cambio, riesgos identificados y condiciones sugeridas, en su caso. |
|
Diseño de arquitectura de seguridad
Definición de controles |
Definición de controles de seguridad sobre la arquitectura de una solución, considerando componentes, flujos de comunicación, exposición, accesos, segmentación y controles preventivos o detectivos recomendados. | Se define según alcance, tamaño, complejidad e integraciones de la solución. | Cuando se requiere definir cómo debe protegerse una solución desde diseño o establecer controles sobre una arquitectura propuesta. | Se definen según el alcance del caso y la información disponible. Pueden incluir, según aplique, diagramas, configuraciones, trazas de red, documentación técnica, flujos de información u otra evidencia técnica relevante. |
|
Propuesta de controles de seguridad, observaciones sobre la arquitectura y consideraciones para su implementación. |
Consideraciones generales
Los SLA indicados son estimaciones de atención y análisis, no compromisos de resolución técnica, aprobación automática o implementación de controles.
El tiempo de atención inicia cuando se cuenta con la información mínima necesaria para analizar el caso. Si durante la revisión se identifica que faltan elementos relevantes, se podrán solicitar aclaraciones o insumos adicionales, y el SLA podrá ajustarse conforme al alcance real.
Las recomendaciones, observaciones o dictámenes emitidos se basan en la información proporcionada al momento del análisis. La ausencia de observaciones no debe interpretarse como ausencia total de riesgos, vulnerabilidades o incumplimientos.
Cuando el caso requiera pruebas técnicas, auditoría formal, validación de configuraciones, revisión de código, pentest, análisis forense o implementación de controles, deberá definirse un alcance específico adicional.
Tipos de análisis de seguridad y SLA de atención
Referencia para solicitudes de revisión, evaluación técnica, análisis contractual, validación de cambios y diseño de controles de seguridad.
| Tipo de análisis | Descripción | SLA estimado | ¿Para qué se recomienda? | Insumos requeridos | Exclusiones | Entregable |
|---|---|---|---|---|---|---|
|
Análisis de contrato
Contractual |
Revisión del contrato desde la perspectiva de seguridad para identificar riesgos, vacíos de responsabilidad, obligaciones operativas y dependencias con terceros. |
|
Para contratos críticos que involucren tecnología, datos sensibles, servicios operativos relevantes, proveedores externos o responsabilidades compartidas. |
|
|
Recomendaciones y cláusulas de seguridad sugeridas para fortalecer el contrato. |
|
Revisión rápida
Nivel 1 |
Evaluación general del diagrama, descripción o solución para identificar riesgos evidentes sin validación técnica profunda. | 24–48 horas hábiles | Para decisiones rápidas, revisiones preliminares o identificación temprana de riesgos. |
|
|
Comentarios generales, riesgos potenciales y recomendaciones preliminares. |
|
Análisis de componentes
Nivel 2 |
Revisión técnica de componentes clave, como POS, red, accesos, integraciones, flujos de información o servicios involucrados, para identificar riesgos y controles necesarios. | 3–5 días hábiles | Cuando existe impacto técnico real en POS, integraciones, red, accesos, procesamiento de información o exposición de servicios. |
|
|
Observaciones técnicas, riesgos identificados y recomendaciones de control. |
|
Evaluación formal de solución
Nivel 3 |
Evaluación completa de la solución considerando arquitectura, controles, riesgos, exposición, roles, accesos, flujos de información y cumplimiento aplicable, como PCI DSS u otros marcos de referencia. | 5–10 días hábiles | Para decisiones críticas, aprobaciones formales, implementaciones productivas o soluciones con impacto relevante en seguridad, operación o cumplimiento. |
|
|
Dictamen formal con diagnóstico sugerido, aprobación condicionada, rechazo o recomendaciones necesarias, según corresponda. |
|
Evaluación de proveedor / SaaS
Terceros |
Análisis del proveedor o plataforma externa, considerando controles declarados, certificaciones, arquitectura, riesgos operativos, responsabilidades compartidas y dependencia del servicio. | 5–10 días hábiles | Antes de integrar servicios externos, plataformas SaaS, proveedores tecnológicos o soluciones que procesen información relevante. |
|
|
Evaluación de riesgo del proveedor y recomendación de uso, condicionamiento o mitigación. |
|
Validación de modificaciones
Control operativo |
Revisión puntual de cambios sobre soluciones previamente evaluadas, como nuevos accesos, componentes, integraciones, flujos o ajustes operativos. | 2–3 días hábiles | Cuando una solución ya fue revisada o aprobada y se requiere validar el impacto de un cambio específico. |
|
|
Evaluación del impacto del cambio, riesgos identificados y condiciones sugeridas, en su caso. |
|
Diseño de arquitectura de seguridad
Definición de controles |
Definición de controles de seguridad sobre la arquitectura de una solución, considerando componentes, flujos de comunicación, exposición, accesos, segmentación y controles preventivos o detectivos recomendados. | Se define según alcance, tamaño, complejidad e integraciones de la solución. | Cuando se requiere definir cómo debe protegerse una solución desde diseño o establecer controles sobre una arquitectura propuesta. | Se definen según el alcance del caso y la información disponible. Pueden incluir, según aplique, diagramas, configuraciones, trazas de red, documentación técnica, flujos de información u otra evidencia técnica relevante. |
|
Propuesta de controles de seguridad, observaciones sobre la arquitectura y consideraciones para su implementación. |
Consideraciones generales
Los SLA indicados son estimaciones de atención y análisis, no compromisos de resolución técnica, aprobación automática o implementación de controles.
El tiempo de atención inicia cuando se cuenta con la información mínima necesaria para analizar el caso. Si durante la revisión se identifica que faltan elementos relevantes, se podrán solicitar aclaraciones o insumos adicionales, y el SLA podrá ajustarse conforme al alcance real.
Las recomendaciones, observaciones o dictámenes emitidos se basan en la información proporcionada al momento del análisis. La ausencia de observaciones no debe interpretarse como ausencia total de riesgos, vulnerabilidades o incumplimientos.
Cuando el caso requiera pruebas técnicas, auditoría formal, validación de configuraciones, revisión de código, pentest, análisis forense o implementación de controles, deberá definirse un alcance específico adicional.