Almacenamiento de pruebas y documentación

1) Objetivo y resultados

• Inmutabilidad legalmente significativa de los artefactos (evidencia immutable).
• Rastreabilidad: quién, cuándo, por qué creó/modificó/leyó.
• Preparación para la auditoría «por botón» (replicable «audit pack»).
• Cumplimiento de privacidad y retención (TTL, Legal Hold, eliminación/anonimización).
• Un circuito único de derechos y responsabilidades (RACI) y métricas de calidad.

2) Taxonomía de artefactos (lo que se considera evidencia)

Técnicas: registros de acceso y acciones administrativas, resultados de escáneres (SAST/DAST/SCA), informes de escaneo secreto, registros SOAR, deriva IaC/cloud, backups de configuraciones, pistas KMS/HSM.
Operativo: tickets ITSM/incidentes/cambios, protocolos post mortem, actos de pruebas DR/BCP, informes de auditoría de acceso (re-cert).
Legal y regulatorio: políticas/normas/SOP con registro de versiones, DPA/SLA/addendums, notificaciones a reguladores, respuestas a solicitudes, SARA/remediaciones.
Privacidad y datos: registros de tratamientos, casos DSAR, confirmaciones de eliminación/anonimato, gráficos de retención, registros de Legal Hold.
Vendedores/terceros: resultados de Due Diligence, certificados (SOC/ISO/PCI), informes de pentests, cumplimiento de SLA.
Control financiero: informes de AML/AMB, límites y excepciones, confirmaciones de SoD.

3) Principios (design tenets)

Immutabilidad por default: WORM/Object Lock, prohibición de sobrescribir en el período de almacenamiento.
Integrity & Authenticity: cadenas hash, raíces merckley, firma digital y marcas de tiempo.
Minimal & Purpose-bound: sólo los datos deseados, pseudonimización/enmascaramiento.
Acceso basado en caso: acceso por caso y función, con registro de lectura/exportación de extremo a extremo.
Policy-as-Code: clases de retén/Legal Hold/artefactos - en el repositorio de reglas.
Auditabilidad: informes reproducibles y «audit pack» con recibos hash.

4) Roles y RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Arquitectura de almacenamiento (referencia)

1. Zona de recepción (ingest): bus confiable, mTLS, retraídas, deduplicación, normalización de metadatos (JSON).
2. Almacenamiento en caliente: búsqueda rápida/informes (30-90 días).
3. Almacenamiento en frío: objeto/archivo (1-7 años), clase económica.
4. WORM/Object Lock-contorno: un archivo de pruebas inmutable con políticas por baqueta/objeto.
5. Integridad: hash batches, merkley árboles, anclaje periódico; Registro de comprobaciones.
6. Directorio/MDM de artefactos: registro de tipos, esquemas, propietarios, TTL, campos clave de búsqueda.
7. Acceso: RBAC/ABAC + case-based access; exportación con recibo hash; control dual para conjuntos sensibles.
8. Replicación y DR: georredistribución, objetivos RTO/RPO, comprobaciones de recuperación regulares.

6) Políticas-como-código (YAML ejemplo)

yaml id: EVD-RET-001 title: "Retention and Legal Hold (evidence)"
classes:
- name: "security_logs"
hot_days: 30 cold_days: 365 worm_years: 3
- name: "contracts_dpa"
hot_days: 0 cold_days: 2555  # ~7 лет worm_years: 7 legal_hold:
enabled: true override_ttl: true privacy:
mask_fields: ["email","phone","ip","account_id"]
export_policy: "case_based"
verification:
integrity_check: "daily"
anchor_cadence: "hourly"

7) Cadena de almacenamiento (Cadena de custodia)

Identificación: ID único del objeto, fuente, versión del esquema.
Fijación: hash SHA-256/512, firma del paquete, sello de tiempo.
Transporte: registro de manifiestos (quién/cuándo cargó/verificó).
Acceso: registro de todas las lecturas/exportaciones; enlace al caso/ticket.
Informes: recibos hash, protocolos de verificación, resultados de verificación.

8) Retiro, Legal Hold y eliminación

Horarios de almacenamiento por clase de artefactos y jurisdicciones.
Legal Hold en incidentes/solicitudes del regulador - «congelar» las eliminaciones.
Eliminación por TTL: sólo después de comprobar automáticamente que no hay Hold activos.
Informe de eliminación: lista de objetos + resumen hash agregado.
El offboarding de la vendedora es la retención de espejo, la confirmación de la destrucción.

9) Privacidad y minimización

Scope-mínimo: almacena el contexto en lugar de «payload completo».
Pseudonimización/enmascaramiento de campos sensibles; claves de re-identificación separadas.
Acceso «por caso»: para DSAR/incidente - derechos temporales con la revista.
Transfronteroriedad: etiquetas explícitas del país de almacenamiento/tratamiento; Control de copias.

10) «Audit pack» (estructura)

1. Descripción de la organización y RACI.
2. Políticas/estándares/SOP (versiones actualizadas + changelog).
3. Mapa de sistemas y controles + mapping en normas/certificaciones.
4. Métricas de KPI/KRI e informes de período.
5. Artefactos por muestreo: registros, confiscaciones, escáneres, DR/BCP, revisiones de acceso.
6. Vendor-dossier: DPA/SLA, certificados, informes pentest.
7. SARAH/remediaciones: estado, pruebas de cierre.
8. Recibo hash del paquete y registro de acceso al mismo.

11) Métricas y SLO

Integrity Pass: 100% de comprobaciones exitosas de cadenas hash.
Anchor Freshness p95: ≤ 2 horas entre anclajes y verificación.
Coverage: ≥ el 98% de los sistemas críticos del directorio evidence.
Access Review SLA: 100% de las certificaciones mensuales de derechos de archivo.
Legal Hold Lag: ≤ 15 minutos desde el evento hasta la instalación de Hold.
Exportación SLA («audit pack»): ≤ 8 horas para emitir un conjunto completo.
PII Nota Leak: 0 filtraciones críticas en los archivos.

12) Dashboards (conjunto mínimo)

Integrity & WORM: estado de anclaje, bloqueo de objetos, errores de verificación.
Coverage & Catalog: cobertura de clases de artefactos, «agujeros», objetos huérfanos.
Access & Exports: quién leyó/descargó qué, anomalías, conflictos de SoD.
Retention & Hold: temporizadores TTL, activo Legal Hold, gráfico de eliminación.
Vendor Mirror: el estado de la retención de espejo en los contratistas.
Audit Readiness: preparación «por botón» y tiempo antes del SLA.

13) SOP (procedimientos estándar)

SOP-1: Descarga de pruebas

1. Registro de la fuente → 2) normalización/esquema → 3) hash y firma →

2. entrada en la zona WORM → 5) verificación y anclaje → 6) actualización del directorio.

SOP-2: Preparación del «paquete de auditoría»

Abrir un caso → recopilar una lista de artefactos por muestra → formar un paquete → generar un recibo hash → revisión legal → emitir a través del canal oficial → registrar el acceso y la copia en WORM.

SOP-3: Legal Hold

Iniciar Hold → conectar clases/casos → detener trabajos de eliminación → notificar a los propietarios → registrar todas las operaciones → retirar Hold por decisión Legal.

SOP-4: Eliminación por TTL

Compruebe los Hold activos → elimine el atomario → publique un informe con un resumen hash → actualice el directorio.

SOP-5: Vendedora Offboarding

Solicitud de informe de almacenamiento espejado → exportación/transferencia → confirmación de destrucción del vendedor → verificación y archivo de ayuda.

14) Metadatos del artefacto (mínimo)

UID, clase, versión del esquema, fuente, propietario/contactos.
Fecha/hora de creación y descarga, jurisdicción/región de almacenamiento.
Hash/signature/merkley-list e historial de verificación.
TTL y el estatus de Legal Hold.
Enlaces a tickets/casos/políticas relacionados.
Historial de accesos/exportaciones.

15) Verificación de integridad (algoritmo)

Una muestra diaria de batches → un recuento de hashes → una conciliación con la raíz merckley → un informe de inconsistencias → una escalada automática y un «freeze» de los segmentos polémicos previos a la investigación.

16) Calidad y pruebas

Schema compliance ≥ 99. 5% (desviaciones → bloqueo de recepción).
Disaster Restore Drills son pruebas trimestrales de recuperación de archivos.
Capacidad de reproducción: scripts de réperforme para auditores (reproducibilidad de informes).
Versioned Playbooks - versionar SOP y plantillas de «audit pack».

17) Antipatternas

La ausencia de WORM/immutability → la controversia de las pruebas.
Texto crudo sin esquemas → búsqueda débil/validez.
No hay catálogo y los propietarios → «nadie» es responsable.
Archivo como «trastero»: no hay métricas/dashboards, no hay pruebas de DR.
Excepciones eternas (waivers) sin fecha de caducidad.
Exportación sin recibo hash y registro de acceso.
Mezcla de datos PI prod en artefactos sin minimizar.

18) Modelo de madurez (M0-M4)

M0 Manual: carpetas dispares, sin cadena de almacenamiento TTL/.
M1 Catálogo: registro único de artefactos, retención básica.
M2 Manejable: WORM/Object Lock, integración con IAM, Legal Hold, dashboards.
M3 Assured: hash chain, anclaje, case-based access, «audit pack» por botón.
M4 Continuous Assurance: comprobaciones automáticas de integridad, riesgos predictivos, retén espejado en los vendedores, ejercicios completos de RD.

19) Artículos relacionados wiki

Mantenimiento de registros y protocolos

Audit Trail: seguimiento de operaciones

Legal Hold y congelación de datos

Gráficos de almacenamiento y eliminación de datos

Monitoreo continuo de cumplimiento (CCM)

KPI y métricas de cumplimiento

Due Diligence y riesgos de externalización

Administrar cambios en la política de cumplimiento

Interacción con reguladores y auditores

Resultado

El almacenamiento fiable de pruebas no es solo un «archivo», sino un sistema administrado y probado inmutable: cadenas WORM y hash, estrictas políticas de retención y Legal Hold, acceso «por caso», catálogos y métricas reproducidas por «audit pack» y comprobaciones regulares de integridad. En un sistema como este, la auditoría es previsible, las investigaciones son rápidas y los riesgos están bajo control.