/ COGNITIFF

Cumplimiento y Auditoría

Enterprise Checklists for Jira está diseñado para entornos que necesitan defender la evidencia de sus checklists ante auditores: programas SOC 2, SOX, HIPAA, ITIL e ISO 27001. Esta página cubre lo que hace la aplicación (y, con igual importancia, lo que no pretende hacer) para que pueda integrarla de manera impecable en su marco de control.

Rastro de auditoría automatizado

Cada interacción se registra automáticamente, sin requerir la acción del usuario.

  • Eventos capturados: crear elemento, marcar, desmarcar, editar texto, eliminar, reordenar y sincronizar plantilla.
  • Almacenamiento de doble escritura:
    1. Un registro autoritativo en el almacenamiento Forge de la aplicación (la fuente de la verdad para exportaciones y auditorías externas).
    2. Un resumen de mejor esfuerzo (best-effort) escrito en el campo personalizado Checklist Audit Log, para que la actividad reciente aparezca en la pestaña nativa de Historial de Jira.
  • Con evidencia de manipulación, no inmutable criptográficamente. El registro está automatizado y protegido por los controles de acceso a nivel de campo de Jira; no es una cadena de bloques (blockchain). Cualquier documentación de marketing o de control interno debe describirlo como un rastro de auditoría automatizado, no como inmutable.

Bloqueo del estado de la incidencia

Una garantía alineada con SOC 2 de que nadie puede alterar silenciosamente la Definición de Hecho (Definition of Done) de un ticket cerrado.

  • Cuando el estado de una incidencia entra en la categoría de estado Done (Hecho, Cerrado, Resuelto o cualquier estado personalizado asignado a esa categoría), el checklist pasa a ser de solo lectura.
  • Todas las operaciones de mutación (marcar, desmarcar, editar, eliminar, reordenar, aplicar plantilla) son rechazadas tanto en la interfaz de usuario (UI) como en el backend, por lo que las rutas de API y Automatización tampoco pueden eludir el bloqueo.
  • El checklist permanece visible y exportable; solo se bloquea su modificación.

Exportación de auditoría en CSV

Extraído por usuarios autorizados (Administradores de Jira, Administradores de Proyecto) para la recopilación de evidencias.

  • Exportación por incidencia: directamente desde el panel del checklist en una única incidencia.
  • Exportación masiva por proyecto: desde la pestaña Export (Exportar) del Panel de Administración, paginada para entornos de gran escala.
  • Columnas adaptadas para auditores: la columna Issue Key (Clave de la incidencia) utiliza la clave de Jira legible por humanos (por ejemplo, CMSP-7) para que los auditores puedan realizar referencias cruzadas directamente con la incidencia.
  • Protección contra inyección de fórmulas de OWASP: los caracteres iniciales =, +, -, @, tabulaciones y retornos de carro (CR) en los campos controlados por el usuario se neutralizan para que al abrir el CSV en Excel o Google Sheets no se puedan ejecutar fórmulas.

Cumplimiento del flujo de trabajo

El validador de flujo de trabajo Checklist Complete bloquea las transiciones a un estado de destino a menos que todos los elementos del checklist estén marcados. Las incidencias sin checklist superan el validador (para que los tickets heredados no queden bloqueados). Combinado con el bloqueo de estado, esto le proporciona tanto un punto de control antes del cierre como una congelación después del cierre.

Notificaciones nativas y automatización

  • Las notificaciones para observadores / responsables se activan de forma nativa al completar un elemento (configurable por el administrador), para que el ciclo de colaboración no sea silencioso.
  • Cada acción de marcar / desmarcar se escribe en la propiedad de la incidencia enterprise-checklist-event, que cualquier regla de Jira Automation puede consumir a través del disparador Issue property changed (Propiedad de la incidencia modificada), para el enrutamiento de evidencias hacia herramientas de ticketing, GRC o chat.

Mapeo con marcos de trabajo comunes

Marco de trabajoÁrea de controlCómo ayuda la aplicación
SOC 2CC7.2 / CC8.1 — gestión de cambios y monitorizaciónRastro de auditoría automatizado de cada mutación del checklist; bloqueo de estado en Done; exportación de evidencias en CSV.
SOXControles de cambios ITGCValidador Checklist Complete en transiciones que impactan en producción; exportación masiva de auditoría por proyecto.
HIPAA§164.308(a)(1) salvaguardas administrativasPlantilla inicial Cloud Infrastructure ePHI Baseline; habilitación por proyecto; permisos de edición restringidos heredados de Jira.
ITILGestión de cambios e incidenciasPlantillas iniciales de Incident Management y Production Deployment con tipificación Read-Do para procedimientos secuenciales.
ISO 27001A.12.1.2 gestión de cambiosLa sincronización de plantillas de solo adición (append-only) preserva las ediciones locales; exportación en CSV legible para auditores.

RGPD y residencia de datos

  • Límites de datos de Forge. Todos los datos de los checklists residen dentro del almacenamiento Forge de Atlassian, heredando los compromisos de residencia de datos de Atlassian.
  • API de informes de datos personales. Un trabajo programado semanalmente reporta los ID de cuenta de Atlassian rastreados a la API de informes de datos personales (Personal Data Reporting API) de Atlassian.
  • Derecho al olvido. Cuando Atlassian indica que una cuenta está cerrada, todos los registros de checklists que hacen referencia a esa cuenta se anonimizan: el ID de la cuenta se reemplaza por un valor centinela, mientras se preserva la integridad del registro de auditoría.

Accesibilidad

  • Cumplimiento del Nivel AA de WCAG 2.1.
  • Todas las interacciones (marcar, desmarcar, editar, reordenar, eliminar, aplicar plantilla) son totalmente navegables por teclado y compatibles con lectores de pantalla.

Seguridad

  • Validación de entrada en cada punto de acceso (UI, REST, rutas de automatización).
  • Saneamiento de Markdown en la renderización para prevenir XSS en el texto de los elementos.
  • Protección contra inyección de fórmulas en CSV tal como se describió anteriormente.
  • Sin PII en los registros de la aplicación. Los ID de cuenta y los nombres para mostrar nunca aparecen en los registros operativos.
  • Seguridad de concurrencia. Las ediciones simultáneas en el mismo checklist están protegidas por un control de concurrencia optimista, por lo que las escrituras conflictivas nunca causan pérdida silenciosa de datos.

Internacionalización

Actualmente, la aplicación se distribuye en inglés. La interfaz de usuario está completamente externalizada para su localización.