software ISO 27001
Lumicost evalúa 12 controles del Anexo A de ISO/IEC 27001:2022 (A.5, A.8, A.12, A.13) sobre tu infraestructura AWS, GCP y Azure todos los días — y escribe el resultado en un audit log append-only con hashes de integridad SHA-256 que tu certification body puede verificar.
La certificación ISO 27001:2022 depende de evidencia continua: si tus controles de acceso derivaron, si los logs sobrevivieron a la retención, si los riesgos fueron tratados. Lumicost inspecciona continuamente tu configuración cloud contra 12 controles del Anexo A pre-mapeados — Threat Intelligence (A.5.7), Information Classification (A.5.12), Access Control (A.5.15), ICT Continuity (A.5.30), Asset Inventory (A.8.1), Privileged Access (A.8.2), Monitoring (A.8.16), Change Management (A.12.1.2), Event Logging (A.12.4.1), Vulnerability Management (A.12.6.1), Network Controls (A.13.1.1), Information Transfer (A.13.2.1) — y emite evidencia firmada criptográficamente lista para auditorías Stage 1 y Stage 2.
A.5 Organizacionales (5.7, 5.12, 5.15, 5.30) · A.8 Tecnológicos (8.1, 8.2, 8.16) · A.12 Operations Security (12.1.2, 12.4.1, 12.6.1) · A.13 Communications Security (13.1.1, 13.2.1). Cada control recibe COMPLIANT / PARTIAL / NON_COMPLIANT con rationale y mapa de evidencia.
Cada reporte generado se hashea con SHA-256 sobre el JSON canónico de sus controles y se almacena en una base de datos que no permite UPDATE / DELETE a nivel de fila. El auditor puede recomputar el hash para verificar integridad — una respuesta limpia para A.12.4.1 Event Logging.
Las auditorías de seguimiento esperan prueba de que mantuviste conformidad durante 12 meses. El motor de freshness baja COMPLIANT → PARTIAL en el momento que la evidencia envejece más allá de su ventana móvil, y alerta a tu canal de compliance para que remediar antes de que pregunte el auditor.
Exports CSV / JSON / PDF con un clic, alineados a la request list del auditor. La misma evidencia soporta SOC 2 (CC6/CC7/CC8) y HIPAA Security Rule — mapea una vez, audita muchos.
Toda la evidencia se recolecta vía credenciales solo lectura (WIF en GCP, IAM Role con external-id en AWS, App Registration en Azure). Cero rutas de escritura en tu entorno, cero agentes en workloads.
Ninguna herramienta puede. La certificación la otorga un certification body acreditado tras Stage 1 (revisión documental) y Stage 2 (auditoría operativa). Lumicost automatiza la evidencia operativa — la parte que el auditor inspecciona en Stage 2 — para los 12 controles del Anexo A que mapean a configuración cloud.
ISO 27001:2022 Anexo A contiene 93 controles en 4 temas. La mayoría son organizacionales, de personas o físicos — se evidencian con políticas, registros de capacitación y contratos. Lumicost evalúa los 12 controles que mapean directo a telemetría cloud; el resto vive en la documentación de tu SGSI.
Anexo A renombró y reorganizó controles en la revisión de 2022. Nuestro evaluador emite códigos :2022 (A.5.x, A.8.x, A.12.x, A.13.x). Si tu auditoría sigue en :2013, la evidencia subyacente es la misma — tu auditor aceptará el cross-mapping.
A.5.23 (uso de servicios cloud) se evidencia con tu inventario de conexiones cloud y contratos. Lumicost expone el inventario automáticamente; la parte contractual (DPA, BAA, residencia regional) está documentada en nuestro Trust Center y DPA, firmados junto con la suscripción.
Conecta credenciales solo lectura y obtén tus primeros insights en 24 horas.