Buscar en la base de conocimiento

H18 - Tareas, checklist, dependencias e integraciones

Este articulo baja el hito H18 a trabajo ejecutable. El foco es: Este hito debe definir y ejecutar pentesting con alcance autorizado, evidencias y clasificacion de hallazgos. Su alcance operativo se concentra en Acceso Unico Institucional, gestion de hallazgos de seguridad, severidad, remediacion y retest y requiere coordinacion de Seguridad. Desde la practica de Byte IT, este material debe servir para revisar avance real, detectar bloqueos, validar evidencia y cerrar tareas sin perder trazabilidad contractual.

Introduccion

Este articulo convierte el hito en una guia de ejecucion: que se busca lograr, que tareas lo componen, que checklist debe cerrarse, que dependencias pueden condicionar el avance y que integraciones deben considerarse antes de declarar aceptacion tecnica o funcional.

Descripcion detallada del hito

H18 - Pentesting y evaluacion de seguridad

Objetivo del hito: Este hito debe definir y ejecutar pentesting con alcance autorizado, evidencias y clasificacion de hallazgos. Su alcance operativo se concentra en Acceso Unico Institucional, gestion de hallazgos de seguridad, severidad, remediacion y retest y requiere coordinacion de Seguridad.

Alcance de trabajo: este hito coordina Acceso Unico Institucional con participacion de Seguridad. Debe convertir sus tareas en resultados verificables, no solo en actividades reportadas, y mantener trazabilidad con entregable, dependencias, evidencia y criterio de salida.

Entregables y evidencia: Evidencia requerida: alcance aprobado, reporte pentest, hallazgos, severidad, evidencia controlada y plan de remediacion. Debe conservarse trazabilidad con tareas, responsables, fechas, aprobaciones, commits/PRs, capturas, reportes o actas segun corresponda.

Tareas incluidas: PYD-180 Preparar alcance de pentesting; PYD-181 Ejecutar pentesting; PYD-182 Clasificar hallazgos. Cada tarea debe tener checklist completo, evidencia adjunta o referenciada, dependencia revisada, riesgo actualizado y decision de cierre.

Dependencias y riesgos: medio Las dependencias que afecten fechas, ambientes, datos, integraciones, aprobaciones o certificacion deben quedar reflejadas en PtD, RAID y comentarios de cierre.

Criterio de salida: Criterio de salida: cada hallazgo tiene severidad, responsable, fecha objetivo y criterio de retest. Ademas, todas las tareas del hito deben tener checklist completo, evidencia adjunta o referenciada, dependencias bloqueantes condicionadas formalmente y actualizacion del tablero PtD.

Control de cierre: el hito solo debe marcarse como cerrado cuando las tareas asociadas esten terminadas o formalmente exceptuadas, los gates aplicables esten cumplidos, la evidencia soporte la aceptacion y no existan bloqueos criticos sin responsable, fecha objetivo o condicion aprobada.

Detalle del hito

  • Hito: H18
  • Objetivo: Este hito debe definir y ejecutar pentesting con alcance autorizado, evidencias y clasificacion de hallazgos. Su alcance operativo se concentra en Acceso Unico Institucional, gestion de hallazgos de seguridad, severidad, remediacion y retest y requiere coordinacion de Seguridad.
  • Resultado esperado: Resultado esperado: reporte de seguridad accionable para priorizar remediacion antes de produccion. Las tareas guia del cierre son PYD-180 Preparar alcance de pentesting; PYD-181 Ejecutar pentesting; PYD-182 Clasificar hallazgos.
  • Entregable: PYD-E5 - Remediacion, despliegue productivo, capacitacion y cierre
  • Responsable: Coordinadora tecnica
  • Criterio de salida: Criterio de salida: cada hallazgo tiene severidad, responsable, fecha objetivo y criterio de retest. Ademas, todas las tareas del hito deben tener checklist completo, evidencia adjunta o referenciada, dependencias bloqueantes condicionadas formalmente y actualizacion del tablero PtD.
  • Evidencia requerida: Evidencia requerida: alcance aprobado, reporte pentest, hallazgos, severidad, evidencia controlada y plan de remediacion. Debe conservarse trazabilidad con tareas, responsables, fechas, aprobaciones, commits/PRs, capturas, reportes o actas segun corresponda.

Tareas a realizar y checklist de entregables

PYD-180 - Preparar alcance de pentesting

Responsable: Seguridad | Disciplina: Seguridad | Sistema/componente: Acceso Unico Institucional | Fechas: 2027-02-01 a 2027-02-03.

Descripcion detallada

PYD-180 - Preparar alcance de pentesting

Objetivo PM: gestionar seguridad desde alcance autorizado hasta remediacion comprobada, sin exponer evidencia sensible.

Alcance operativo: esta tarea pertenece a H18 - H18 - Pentesting y evaluacion de seguridad, se vincula con PYD-E5 - Remediacion, despliegue productivo, capacitacion y cierre, impacta Acceso Unico Institucional, queda a cargo de Seguridad y esta planeada del 2027-02-01 al 2027-02-03. Debe gestionarse como unidad de trabajo cerrable: alcance claro, actividad ejecutada, evidencia adjunta, dependencia revisada y criterio de aceptacion aplicado.

Actividades de ejecucion: debe cubrir hallazgos, severidad, impacto, responsable, fix, retest, excepcion y decision de liberacion. Actividades principales del checklist: Definir alcance exacto de seguridad para Preparar alcance de pentesting: modulos, endpoints, roles y datos sensibles; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Preparar ambiente, usuarios de prueba, ventanas de ejecucion y autorizacion formal; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Ejecutar pruebas o revision segun alcance: permisos, sesion, API, datos, configuracion o pentest; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Clasificar hallazgos por severidad, impacto, explotabilidad y evidencia; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Registrar plan de remediacion con responsable y fecha objetivo; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre..

Entregable verificable: Evidencia requerida para PYD-180 (Preparar alcance de pentesting): reporte de seguridad, hallazgos, severidad, evidencia controlada, remediacion y retest. Debe incluir responsable, fecha, version o identificador de evidencia, relacion con hito/entregable y aprobacion o condicion de cierre.

Criterio de aceptacion: Aceptar PYD-180 solo si "Preparar alcance de pentesting" produce reporte de seguridad con alcance, evidencia, hallazgos, severidad, plan de remediacion y retest; cumple el checklist completo; cuenta con evidencia verificable; refleja dependencias, riesgos o condiciones abiertas; y se valida cuando los hallazgos criticos/altos quedan cerrados o formalmente exceptuados. La aceptacion PM exige checklist completo, evidencia verificable, dependencia revisada y ausencia de bloqueo no condicionado.

Dependencias y coordinacion: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos; DEP-PF-007 - Usuarios para pruebas

Riesgos y controles: Hallazgos criticos sin ventana de remediacion, evidencia sensible mal resguardada o retest incompleto. Puede agravarse si no se atiende: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos; DEP-PF-007 - Usuarios para pruebas. El riesgo PM principal es cerrar avance nominal sin evidencia suficiente, dependencia resuelta o aceptacion del responsable correspondiente. Limitaciones de cierre: Las pruebas de seguridad solo pueden ejecutarse sobre alcance autorizado, ambientes permitidos y usuarios de prueba. Dependencias a vigilar: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos; DEP-PF-007 - Usuarios para pruebas. Si falta aprobacion, ambiente, dato de prueba, contrato o responsable, el cierre debe marcarse como condicionado. Supuestos operativos: Se asume que Seguridad puede coordinar la revision de Acceso Unico Institucional, que los ambientes y datos usados son de prueba o estan autorizados, y que cualquier cambio de alcance se registra antes de cerrar la tarea. Se asume disponibilidad razonable de responsables institucionales y uso exclusivo de datos de prueba autorizados.

Regla de cierre: PYD-180 solo puede cerrarse cuando los 8 entregables del checklist esten completos o formalmente exceptuados, la evidencia este disponible en Perfex/PtD, el responsable de cierre haya revisado el resultado y cualquier bloqueo quede registrado como dependencia, RAID o condicion de aceptacion.

Seguridad y datos: no se deben adjuntar credenciales, tokens, secretos, datos personales reales no autorizados ni capturas con informacion sensible. Las evidencias deben usar datos sinteticos, anonimizados o autorizados, y los logs deben ser aptos para auditoria.

Evidencia esperada: Evidencia requerida para PYD-180 (Preparar alcance de pentesting): reporte de seguridad, hallazgos, severidad, evidencia controlada, remediacion y retest. Debe incluir responsable, fecha, version o identificador de evidencia, relacion con hito/entregable y aprobacion o condicion de cierre.

Criterio de aceptacion: Aceptar PYD-180 solo si "Preparar alcance de pentesting" produce reporte de seguridad con alcance, evidencia, hallazgos, severidad, plan de remediacion y retest; cumple el checklist completo; cuenta con evidencia verificable; refleja dependencias, riesgos o condiciones abiertas; y se valida cuando los hallazgos criticos/altos quedan cerrados o formalmente exceptuados. La aceptacion PM exige checklist completo, evidencia verificable, dependencia revisada y ausencia de bloqueo no condicionado.

Riesgos operativos: Hallazgos criticos sin ventana de remediacion, evidencia sensible mal resguardada o retest incompleto. Puede agravarse si no se atiende: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos; DEP-PF-007 - Usuarios para pruebas. El riesgo PM principal es cerrar avance nominal sin evidencia suficiente, dependencia resuelta o aceptacion del responsable correspondiente.

Dependencias relacionadas: DEP-DTI-001 - Repositorios Git - condicion operacional para DTI., DEP-DTI-002 - Arquitectura institucional - condicion operacional para DTI., DEP-DTI-003 - Infraestructura de desarrollo - condicion operacional para DTI., DEP-DTI-004 - Documentación de autenticación - condicion operacional para DTI., DEP-DTI-005 - Ambiente QA - condicion operacional para DTI., DEP-DTI-006 - Certificados y DNS QA - condicion operacional para DTI., DEP-DTI-007 - Acceso a datos historicos - condicion operacional para DTI y migracion., DEP-DTI-008 - Infraestructura productiva - condicion operacional para liberacion y estabilizacion.

Integraciones relacionadas: SYS-06 - Expediente Unico NNA, SYS-07 - Acceso Unico Institucional, SYS-09 - Gestion Documental, SYS-11 - Infraestructura DTI, SYS-12 - Repositorio Git Institucional, SYS-RMI - RMI - Registro de Movilidad Interna

Checklist de entregables

  • PYD-180 | Alcance | Definir alcance exacto de seguridad para Preparar alcance de pentesting: modulos, endpoints, roles y datos sensibles; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-180 | Analisis | Preparar ambiente, usuarios de prueba, ventanas de ejecucion y autorizacion formal; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-180 | Construccion | Ejecutar pruebas o revision segun alcance: permisos, sesion, API, datos, configuracion o pentest; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-180 | Evidencia | Clasificar hallazgos por severidad, impacto, explotabilidad y evidencia; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-180 | Validacion | Registrar plan de remediacion con responsable y fecha objetivo; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-180 | Dependencias | Validar que evidencias no incluyan secretos ni datos personales reales; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-180 | Seguridad | Ejecutar retest o definir condicion formal cuando aplique; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-180 | Cierre | Actualizar riesgos, RAID y criterio de liberacion; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
PYD-181 - Ejecutar pentesting

Responsable: Seguridad | Disciplina: Seguridad | Sistema/componente: Acceso Unico Institucional | Fechas: 2027-02-03 a 2027-02-10.

Descripcion detallada

PYD-181 - Ejecutar pentesting

Objetivo PM: gestionar seguridad desde alcance autorizado hasta remediacion comprobada, sin exponer evidencia sensible.

Alcance operativo: esta tarea pertenece a H18 - H18 - Pentesting y evaluacion de seguridad, se vincula con PYD-E5 - Remediacion, despliegue productivo, capacitacion y cierre, impacta Acceso Unico Institucional, queda a cargo de Seguridad y esta planeada del 2027-02-03 al 2027-02-10. Debe gestionarse como unidad de trabajo cerrable: alcance claro, actividad ejecutada, evidencia adjunta, dependencia revisada y criterio de aceptacion aplicado.

Actividades de ejecucion: debe cubrir hallazgos, severidad, impacto, responsable, fix, retest, excepcion y decision de liberacion. Actividades principales del checklist: Definir alcance exacto de seguridad para Ejecutar pentesting: modulos, endpoints, roles y datos sensibles; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Preparar ambiente, usuarios de prueba, ventanas de ejecucion y autorizacion formal; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Ejecutar pruebas o revision segun alcance: permisos, sesion, API, datos, configuracion o pentest; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Clasificar hallazgos por severidad, impacto, explotabilidad y evidencia; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Registrar plan de remediacion con responsable y fecha objetivo; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre..

Entregable verificable: Evidencia requerida para PYD-181 (Ejecutar pentesting): reporte de seguridad, hallazgos, severidad, evidencia controlada, remediacion y retest. Debe incluir responsable, fecha, version o identificador de evidencia, relacion con hito/entregable y aprobacion o condicion de cierre.

Criterio de aceptacion: Aceptar PYD-181 solo si "Ejecutar pentesting" produce reporte de seguridad con alcance, evidencia, hallazgos, severidad, plan de remediacion y retest; cumple el checklist completo; cuenta con evidencia verificable; refleja dependencias, riesgos o condiciones abiertas; y se valida cuando los hallazgos criticos/altos quedan cerrados o formalmente exceptuados. La aceptacion PM exige checklist completo, evidencia verificable, dependencia revisada y ausencia de bloqueo no condicionado.

Dependencias y coordinacion: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos

Riesgos y controles: Hallazgos criticos sin ventana de remediacion, evidencia sensible mal resguardada o retest incompleto. Puede agravarse si no se atiende: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos. El riesgo PM principal es cerrar avance nominal sin evidencia suficiente, dependencia resuelta o aceptacion del responsable correspondiente. Limitaciones de cierre: Las pruebas de seguridad solo pueden ejecutarse sobre alcance autorizado, ambientes permitidos y usuarios de prueba. Dependencias a vigilar: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos. Si falta aprobacion, ambiente, dato de prueba, contrato o responsable, el cierre debe marcarse como condicionado. Supuestos operativos: Se asume que Seguridad puede coordinar la revision de Acceso Unico Institucional, que los ambientes y datos usados son de prueba o estan autorizados, y que cualquier cambio de alcance se registra antes de cerrar la tarea. Se asume disponibilidad razonable de responsables institucionales y uso exclusivo de datos de prueba autorizados.

Regla de cierre: PYD-181 solo puede cerrarse cuando los 8 entregables del checklist esten completos o formalmente exceptuados, la evidencia este disponible en Perfex/PtD, el responsable de cierre haya revisado el resultado y cualquier bloqueo quede registrado como dependencia, RAID o condicion de aceptacion.

Seguridad y datos: no se deben adjuntar credenciales, tokens, secretos, datos personales reales no autorizados ni capturas con informacion sensible. Las evidencias deben usar datos sinteticos, anonimizados o autorizados, y los logs deben ser aptos para auditoria.

Evidencia esperada: Evidencia requerida para PYD-181 (Ejecutar pentesting): reporte de seguridad, hallazgos, severidad, evidencia controlada, remediacion y retest. Debe incluir responsable, fecha, version o identificador de evidencia, relacion con hito/entregable y aprobacion o condicion de cierre.

Criterio de aceptacion: Aceptar PYD-181 solo si "Ejecutar pentesting" produce reporte de seguridad con alcance, evidencia, hallazgos, severidad, plan de remediacion y retest; cumple el checklist completo; cuenta con evidencia verificable; refleja dependencias, riesgos o condiciones abiertas; y se valida cuando los hallazgos criticos/altos quedan cerrados o formalmente exceptuados. La aceptacion PM exige checklist completo, evidencia verificable, dependencia revisada y ausencia de bloqueo no condicionado.

Riesgos operativos: Hallazgos criticos sin ventana de remediacion, evidencia sensible mal resguardada o retest incompleto. Puede agravarse si no se atiende: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos. El riesgo PM principal es cerrar avance nominal sin evidencia suficiente, dependencia resuelta o aceptacion del responsable correspondiente.

Dependencias relacionadas: DEP-DTI-001 - Repositorios Git - condicion operacional para DTI., DEP-DTI-002 - Arquitectura institucional - condicion operacional para DTI., DEP-DTI-003 - Infraestructura de desarrollo - condicion operacional para DTI., DEP-DTI-004 - Documentación de autenticación - condicion operacional para DTI., DEP-DTI-005 - Ambiente QA - condicion operacional para DTI., DEP-DTI-006 - Certificados y DNS QA - condicion operacional para DTI., DEP-DTI-007 - Acceso a datos historicos - condicion operacional para DTI y migracion., DEP-DTI-008 - Infraestructura productiva - condicion operacional para liberacion y estabilizacion.

Integraciones relacionadas: SYS-06 - Expediente Unico NNA, SYS-07 - Acceso Unico Institucional, SYS-09 - Gestion Documental, SYS-11 - Infraestructura DTI, SYS-12 - Repositorio Git Institucional, SYS-RMI - RMI - Registro de Movilidad Interna

Checklist de entregables

  • PYD-181 | Alcance | Definir alcance exacto de seguridad para Ejecutar pentesting: modulos, endpoints, roles y datos sensibles; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-181 | Analisis | Preparar ambiente, usuarios de prueba, ventanas de ejecucion y autorizacion formal; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-181 | Construccion | Ejecutar pruebas o revision segun alcance: permisos, sesion, API, datos, configuracion o pentest; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-181 | Evidencia | Clasificar hallazgos por severidad, impacto, explotabilidad y evidencia; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-181 | Validacion | Registrar plan de remediacion con responsable y fecha objetivo; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-181 | Dependencias | Validar que evidencias no incluyan secretos ni datos personales reales; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-181 | Seguridad | Ejecutar retest o definir condicion formal cuando aplique; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-181 | Cierre | Actualizar riesgos, RAID y criterio de liberacion; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
PYD-182 - Clasificar hallazgos

Responsable: Seguridad | Disciplina: Seguridad | Sistema/componente: Acceso Unico Institucional | Fechas: 2027-02-10 a 2027-02-12.

Descripcion detallada

PYD-182 - Clasificar hallazgos

Objetivo PM: evaluar seguridad con alcance autorizado, evidencia controlada y plan de remediacion accionable.

Alcance operativo: esta tarea pertenece a H18 - H18 - Pentesting y evaluacion de seguridad, se vincula con PYD-E5 - Remediacion, despliegue productivo, capacitacion y cierre, impacta Acceso Unico Institucional, queda a cargo de Seguridad y esta planeada del 2027-02-10 al 2027-02-12. Debe gestionarse como unidad de trabajo cerrable: alcance claro, actividad ejecutada, evidencia adjunta, dependencia revisada y criterio de aceptacion aplicado.

Actividades de ejecucion: la prueba debe cubrir roles, sesion, APIs, configuracion, datos sensibles y hallazgos clasificados por severidad. Actividades principales del checklist: Definir alcance exacto de seguridad para Clasificar hallazgos: modulos, endpoints, roles y datos sensibles; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Preparar ambiente, usuarios de prueba, ventanas de ejecucion y autorizacion formal; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Ejecutar pruebas o revision segun alcance: permisos, sesion, API, datos, configuracion o pentest; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Clasificar hallazgos por severidad, impacto, explotabilidad y evidencia; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.; Registrar plan de remediacion con responsable y fecha objetivo; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre..

Entregable verificable: Evidencia requerida para PYD-182 (Clasificar hallazgos): reporte de seguridad, hallazgos, severidad, evidencia controlada, remediacion y retest. Debe incluir responsable, fecha, version o identificador de evidencia, relacion con hito/entregable y aprobacion o condicion de cierre.

Criterio de aceptacion: Aceptar PYD-182 solo si "Clasificar hallazgos" produce reporte de seguridad con alcance, evidencia, hallazgos, severidad, plan de remediacion y retest; cumple el checklist completo; cuenta con evidencia verificable; refleja dependencias, riesgos o condiciones abiertas; y se valida con reporte, plan de remediacion, retest o excepcion formal aprobada. La aceptacion PM exige checklist completo, evidencia verificable, dependencia revisada y ausencia de bloqueo no condicionado.

Dependencias y coordinacion: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos

Riesgos y controles: Hallazgos criticos sin ventana de remediacion, evidencia sensible mal resguardada o retest incompleto. Puede agravarse si no se atiende: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos. El riesgo PM principal es cerrar avance nominal sin evidencia suficiente, dependencia resuelta o aceptacion del responsable correspondiente. Limitaciones de cierre: Las pruebas de seguridad solo pueden ejecutarse sobre alcance autorizado, ambientes permitidos y usuarios de prueba. Dependencias a vigilar: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos. Si falta aprobacion, ambiente, dato de prueba, contrato o responsable, el cierre debe marcarse como condicionado. Supuestos operativos: Se asume que Seguridad puede coordinar la revision de gestion de hallazgos de seguridad, severidad, remediacion y retest, que los ambientes y datos usados son de prueba o estan autorizados, y que cualquier cambio de alcance se registra antes de cerrar la tarea. Se asume disponibilidad razonable de responsables institucionales y uso exclusivo de datos de prueba autorizados.

Regla de cierre: PYD-182 solo puede cerrarse cuando los 8 entregables del checklist esten completos o formalmente exceptuados, la evidencia este disponible en Perfex/PtD, el responsable de cierre haya revisado el resultado y cualquier bloqueo quede registrado como dependencia, RAID o condicion de aceptacion.

Seguridad y datos: no se deben adjuntar credenciales, tokens, secretos, datos personales reales no autorizados ni capturas con informacion sensible. Las evidencias deben usar datos sinteticos, anonimizados o autorizados, y los logs deben ser aptos para auditoria.

Evidencia esperada: Evidencia requerida para PYD-182 (Clasificar hallazgos): reporte de seguridad, hallazgos, severidad, evidencia controlada, remediacion y retest. Debe incluir responsable, fecha, version o identificador de evidencia, relacion con hito/entregable y aprobacion o condicion de cierre.

Criterio de aceptacion: Aceptar PYD-182 solo si "Clasificar hallazgos" produce reporte de seguridad con alcance, evidencia, hallazgos, severidad, plan de remediacion y retest; cumple el checklist completo; cuenta con evidencia verificable; refleja dependencias, riesgos o condiciones abiertas; y se valida con reporte, plan de remediacion, retest o excepcion formal aprobada. La aceptacion PM exige checklist completo, evidencia verificable, dependencia revisada y ausencia de bloqueo no condicionado.

Riesgos operativos: Hallazgos criticos sin ventana de remediacion, evidencia sensible mal resguardada o retest incompleto. Puede agravarse si no se atiende: DEP-DTI-002 - Arquitectura institucional; DEP-DTI-007 - Acceso a datos históricos. El riesgo PM principal es cerrar avance nominal sin evidencia suficiente, dependencia resuelta o aceptacion del responsable correspondiente.

Dependencias relacionadas: DEP-DTI-001 - Repositorios Git - condicion operacional para DTI., DEP-DTI-002 - Arquitectura institucional - condicion operacional para DTI., DEP-DTI-003 - Infraestructura de desarrollo - condicion operacional para DTI., DEP-DTI-004 - Documentación de autenticación - condicion operacional para DTI., DEP-DTI-005 - Ambiente QA - condicion operacional para DTI., DEP-DTI-006 - Certificados y DNS QA - condicion operacional para DTI., DEP-DTI-007 - Acceso a datos historicos - condicion operacional para DTI y migracion., DEP-DTI-008 - Infraestructura productiva - condicion operacional para liberacion y estabilizacion.

Integraciones relacionadas: SYS-06 - Expediente Unico NNA, SYS-07 - Acceso Unico Institucional, SYS-09 - Gestion Documental, SYS-11 - Infraestructura DTI, SYS-12 - Repositorio Git Institucional, SYS-RMI - RMI - Registro de Movilidad Interna

Checklist de entregables

  • PYD-182 | Alcance | Definir alcance exacto de seguridad para Clasificar hallazgos: modulos, endpoints, roles y datos sensibles; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-182 | Analisis | Preparar ambiente, usuarios de prueba, ventanas de ejecucion y autorizacion formal; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-182 | Construccion | Ejecutar pruebas o revision segun alcance: permisos, sesion, API, datos, configuracion o pentest; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-182 | Evidencia | Clasificar hallazgos por severidad, impacto, explotabilidad y evidencia; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-182 | Validacion | Registrar plan de remediacion con responsable y fecha objetivo; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-182 | Dependencias | Validar que evidencias no incluyan secretos ni datos personales reales; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-182 | Seguridad | Ejecutar retest o definir condicion formal cuando aplique; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.
  • PYD-182 | Cierre | Actualizar riesgos, RAID y criterio de liberacion; debe dejar evidencia trazable al hito H18, responsable asignado y fecha de cierre.

Dependencias del hito

CodigoDependenciaInstitucionCriticidadTareas que puede afectar
DEP-DTI-001Repositorios Git - condicion operacional para DTI.DTIaltaPYD-180, PYD-181, PYD-182
DEP-DTI-002Arquitectura institucional - condicion operacional para DTI.DTIaltaPYD-180, PYD-181, PYD-182
DEP-DTI-003Infraestructura de desarrollo - condicion operacional para DTI.DTIaltaPYD-180, PYD-181, PYD-182
DEP-DTI-004Documentación de autenticación - condicion operacional para DTI.DTIaltaPYD-180, PYD-181, PYD-182
DEP-DTI-005Ambiente QA - condicion operacional para DTI.DTIaltaPYD-180, PYD-181, PYD-182
DEP-DTI-006Certificados y DNS QA - condicion operacional para DTI.DTIaltaPYD-180, PYD-181, PYD-182
DEP-DTI-007Acceso a datos historicos - condicion operacional para DTI y migracion.DTIaltaPYD-180, PYD-181, PYD-182
DEP-DTI-008Infraestructura productiva - condicion operacional para liberacion y estabilizacion.DTIaltaPYD-180, PYD-181, PYD-182
DEP-DTI-009Certificados productivos - condicion operacional para DTI.DTIaltaPYD-180, PYD-181, PYD-182
DEP-INM-001Enlace tecnico y funcional INM - condicion de gobierno para interoperabilidad externa.INMaltaPYD-180, PYD-181, PYD-182
DEP-INM-002Documentación de servicios - condicion operacional para INM.INMaltaPYD-180, PYD-181, PYD-182
DEP-INM-003Contrato preliminar - condicion operacional para INM.INMaltaPYD-180, PYD-181, PYD-182
DEP-INM-004Catalogos y ejemplos INM - condicion para mapeo semantico y pruebas de borde.INMaltaPYD-180, PYD-181, PYD-182
DEP-INM-005Ambiente, VPN, credenciales y datos de prueba - condicion operacional para INM.INMaltaPYD-180, PYD-181, PYD-182

Integraciones esperadas

  • SYS-06 - Expediente Unico NNA: revisar contrato, mock, adaptador, conexion real, certificacion, evidencia y estado productivo antes del cierre.
  • SYS-07 - Acceso Unico Institucional: revisar contrato, mock, adaptador, conexion real, certificacion, evidencia y estado productivo antes del cierre.
  • SYS-09 - Gestion Documental: revisar contrato, mock, adaptador, conexion real, certificacion, evidencia y estado productivo antes del cierre.
  • SYS-11 - Infraestructura DTI: revisar contrato, mock, adaptador, conexion real, certificacion, evidencia y estado productivo antes del cierre.
  • SYS-12 - Repositorio Git Institucional: revisar contrato, mock, adaptador, conexion real, certificacion, evidencia y estado productivo antes del cierre.
  • SYS-RMI - RMI - Registro de Movilidad Interna: revisar contrato, mock, adaptador, conexion real, certificacion, evidencia y estado productivo antes del cierre.

¿Le ha resultado útil este artículo?

Articulos relacionados