Docs/Guía de administración/Cumplimiento

Cumplimiento

Dos vistas de cobertura paralelas sobre los mismos datos de formación. La vista OWASP puntúa a su plantilla frente a las cuatro familias del OWASP Top 10. La vista regulatoria puntúa la misma formación frente a estándares externos (PCI DSS, ISO/IEC 27001, SOC 2) asignando cada control a sus CWE subyacentes.

Dónde se encuentra

Barra lateral → Cumplimiento bajo la sección Visión general, en /organization/compliance. La página tiene dos pestañas en la parte superior: OWASP y Regulación. Ambas pestañas comparten el mismo motor de cálculo subyacente; solo difieren en qué conjunto de marcos se muestra.

Cómo se calcula la cobertura

Un usuario elegible es cualquier miembro activo de la organización cuyo rol no sea org_admin. Un usuario cuenta como formado en un tema si tiene al menos un intento de práctica con una puntuación ≥ puntuación de aprobado (70) dentro de los últimos ventana (365 días). Un elemento de riesgo —un módulo OWASP o un control regulatorio— pasa al estado covered en cuanto el porcentaje de usuarios elegibles formados sobre él supera el umbral de cobertura de su organización, que es del 80 % por defecto y configurable entre 50 y 100 en Ajustes de la organización.

Los elementos de riesgo que aún no tienen contenido publicado (asignados a un CWE para el que todavía no disponemos de un tema de formación) informan del estado no-content para que sean visibles como una brecha conocida en lugar de penalizar a su plantilla.

Pestaña OWASP

Un panel por familia — Web, API, Mobile, Client-Side. Cada panel muestra el porcentaje de cobertura general del marco y la puntuación media en la parte superior, y debajo un desglose por módulo con estado (covered / partial / no-activity / no-content), recuento de usuarios formados y puntuación media. Haga clic en un módulo para profundizar en sus temas constituyentes y en los CWE que cada tema aborda.

Pestaña Regulación

Hoy hay tres marcos disponibles: PCI DSS v4.0 Requisito 6 (sistemas y software seguros), controles de desarrollo seguro del Anexo A de ISO/IEC 27001:2022 y los Trust Services Criteria de SOC 2 (TSC 2017). Cada marco se expande a los controles subyacentes; cada control enumera el conjunto de CWE utilizado para asignar los temas de formación, y se agrega a un porcentaje de cobertura por marco que puede copiar directamente en un paquete de evidencias.

PDF de evidencias

Haga clic en Descargar PDF de evidencias en cualquiera de las pestañas para generar un PDF acotado al marco. La pestaña Regulación también le permite elegir un marco concreto y producir un PDF que incluya únicamente los controles de ese marco — útil cuando la solicitud del auditor es estrecha ("evidencia de PCI 6.2.4, por favor") y no quiere entregar el informe de cobertura más amplio.

Acceso programático

Las mismas cifras, legibles por máquina: véase API → Cumplimiento. Las automatizaciones habituales incluyen sincronizar la cobertura por marco en un panel GRC, alertar cuando la cobertura de cualquier control caiga por debajo del umbral y alimentar el desglose por módulo en una herramienta de planificación de sprints para crear automáticamente asignaciones de formación de remediación.