SGSI ISO/IEC 27001:2022
Ciclo PHVA, SoA (Cap. 28.8), matrices de controles y auditoría (Caps. 3–4, 27–28). Certificación formal en roadmap; documentación v1.0 publicada.
Trust Center · Centro de Confianza
Manual Integral de Seguridad, Privacidad y Confianza Digital · SICOT v1.0 · ISCB
Última actualización: 9 de julio de 2026 · SICOT-MIS v1.0
SICOT es la plataforma tecnológica de ISCB que opera como software SICOV para CEA, CIA y OT, y como base para la habilitación como Prestador de Servicios Ciudadanos Digitales Especiales (PSCDE) ante MinTIC. Este portal refleja el Manual Integral MIS (serie SICOT-MIS-01…28, Anexo A): SGSI ISO/IEC 27001:2022, privacidad ISO/IEC 27701, MSPI y cumplimiento dual MinTIC + SuperTransporte.
Ciclo PHVA, SoA (Cap. 28.8), matrices de controles y auditoría (Caps. 3–4, 27–28). Certificación formal en roadmap; documentación v1.0 publicada.
Clasificación de información (Cap. 6), privacidad y PII (Cap. 16), biometría reforzada (Cap. 9). Políticas publicadas en el sitio.
Mismo núcleo de controles atiende IdP/SCDE/evidencias (MinTIC) y trazabilidad SICOV/VIGIA 2 (SuperTransporte). Ver Cap. 1 y 2.
29 PDFs independientes (SICOT-MIS-XX) con encabezado, pie MinTIC+ST y diagramas Kroki. Descargables en Recursos.
SICOT aplica el nivel más restrictivo cuando un dato encaja en varias clases. La biometría nunca se trata como información pública.
| Nivel | Ejemplos | Control |
|---|---|---|
| Pública | Portal comercial, centro de confianza, normativa pública | Publicación aprobada |
| Interna | Manual MIS, procedimientos, diagramas de arquitectura | Acceso por rol, versionamiento |
| Confidencial | Expedientes, contratos, reportes SICOV, hallazgos | RBAC, trazabilidad, retención |
| Sensible | Datos de aspirantes, asistencia, certificados, contacto | Ley 1581, ISO 27701, sede scope |
| Biométrica | Huella U.are.U, facial, plantillas AFIS, cotejos | Minimización, sin logs en claro, Cap. 9 |
| Crítica | Credenciales, claves, BD productiva, hashes integridad | .env, backups, acceso mínimo |
Marco normativo del Capítulo 2 (MIS-02). SICOT se ancla en ambas ramas sectoriales — MinTIC y SuperTransporte — sobre la base constitucional y de datos personales.
Contexto, liderazgo, riesgos, SoA, controles Anexo A, mejora continua (Caps. 3–4, 27–28).
MIS-02, 28
Controles operativos: acceso, criptografía, desarrollo, proveedores, logging.
MIS-02, 7–19
Extensión de privacidad; soporte Ley 1581 y datos biométricos.
MIS-02, 16
Finalidad, autorización, derechos del titular, encargados, medidas sobre sensibles.
MIS-02, 16
Valor jurídico de mensajes de datos, firmas electrónicas, hash de integridad SCDE.
MIS-02, 15
Modelo colombiano de seguridad y privacidad para servicios digitales del Estado.
MIS-02, 28
Prestador de Servicios Ciudadanos Digitales Especiales; paquete documental MIS.
MIS-02, 28.12
Lineamientos de autenticación, trazabilidad y protección de canales IdP/SCDE.
MIS-02, 08
Anexo técnico CEA/CIA/OT, trazabilidad formación, reportes RUNT/VIGIA.
MIS-02, 10
Continuidad del negocio; RTO/RPO, backups, sitio alterno (Cap. 18).
MIS-18
Metodología de identificación, valoración y tratamiento (Cap. 4, matriz 28.3).
MIS-04
Govern · Identify · Protect · Detect · Respond · Recover mapeado a capítulos MIS.
MIS-02
SDLC, SAST/DAST, hardening (Caps. 11–12, 19).
MIS-11, 12, 19
Muestra de la Declaración de Aplicabilidad (SoA) — Capítulo 28.8. Leyenda: I = Implementado, P = Parcial, G = Gap.
Políticas de seguridad de la información
Manual Caps. 1–3; firma Dirección pendiente
Cap. 03
Inventario de activos
Matriz 28.4; inventario físico kioscos pendiente
Cap. 05
Control de acceso
Spatie Permission, config/permisos.php, EnsureSedeScope
Cap. 07
Relaciones con proveedores
Cap. 22 Dongee/veridian360/DigitalPersona; registro formal pendiente
Cap. 22
Privacidad y PII
Cap. 16; matriz finalidades ARCO en progreso
Cap. 16
Seguridad física
Cap. 21; evidencia CPD Dongee y sede organismo externa
Cap. 21
Registro de eventos (logging)
Activity log, hallazgos, eventos SCDE
Cap. 15, 17
Uso de criptografía
TLS, hash SHA-256 SICOV; cifrado formal campos sensibles pendiente
Cap. 14
| Cláusula / dominio | Capítulos MIS | Estado |
|---|---|---|
| Cl.4 Contexto | 1–2 | Implementado documental |
| Cl.5 Liderazgo | 3 | Parcial: firma formal pendiente |
| Cl.6 Riesgos | 4, 28.3 | Parcial |
| A.6 Personas | 23–24 | Documentado |
| A.8 Tecnología | 7–19, A | Mixto por componente |
Políticas públicas del sitio y serie documental MIS (SICOT-MIS-XX). Los capítulos del Manual solo pueden descargarse con sesión iniciada como super administrador o auditor; el resto debe solicitarlos por correo.
Serie SICOT-MIS-XX · v1.0 · índice en Manual.md
Los documentos del Manual son de acceso restringido. Solo super administrador o auditor pueden descargarlos tras iniciar sesión. Si necesita un capítulo, solicítelo a info@sicov360.com.
Capítulo 1 — Presentación del Sistema
Capítulo 2 — Marco Normativo
Capítulo 3 — Gobierno de Seguridad
Capítulo 4 — Gestión de Riesgos
Capítulo 5 — Gestión de Activos
Capítulo 6 — Clasificación de la Información
Capítulo 7 — Identidad Digital y Control de Acceso
Capítulo 8 — Autenticación Digital
Capítulo 9 — Seguridad Biométrica
Capítulo 10 — Interoperabilidad
Capítulo 11 — Desarrollo Seguro
Capítulo 12 — Seguridad de APIs
Capítulo 13 — Infraestructura y Cloud
Capítulo 14 — Criptografía
Capítulo 15 — Evidencia Digital
Capítulo 16 — Privacidad y Protección de Datos
Capítulo 17 — Gestión de Incidentes
Capítulo 18 — Continuidad del Negocio
Capítulo 19 — Gestión de Vulnerabilidades
Capítulo 20 — Gestión de Cambios
Capítulo 21 — Seguridad Física
Capítulo 22 — Gestión de Proveedores
Capítulo 23 — Seguridad del Talento Humano
Capítulo 24 — Uso Aceptable
Capítulo 25 — Gestión Documental
Capítulo 26 — Inteligencia Artificial Responsable
Capítulo 27 — Cumplimiento y Auditoría
Capítulo 28 — Anexos (SoA, matrices MSPI/MinTIC/PSCDE)
Anexo A — Arquitectura de Seguridad
Proveedores críticos documentados en Capítulo 22 (MIS-22). Criterios: criticidad, tratamiento de datos, impacto regulatorio MinTIC/SuperTransporte.
| Proveedor | Propósito | Rol | Ubicación | Datos |
|---|---|---|---|---|
| Dongee MIS-22 | Hosting sicov360.com, PHP/Laravel, MySQL worlvetting_cea360 | Encargado / infraestructura | Canadá / Colombia | Datos operativos, logs, respaldos |
| veridian360 MIS-22 | site-b (InsightFace) y afis-matcher (SourceAFIS) | Procesamiento biométrico | Estados Unidos | Imágenes faciales, plantillas AFIS |
| DigitalPersona SDK MIS-22 | Captura U.are.U 4500 en kiosco PC Windows (sede organismo) | SDK local / kiosco-agent:8765 | Colombia · on-premise sede | Imágenes de huella → template AFIS |
Integración con serie SICOT-MIS-01…28 + Anexo A, SoA Cap. 28.8 y proveedores Cap. 22.
Generación docs:manual-pdf --all con diagramas Kroki. Publicación en /docs/contratacion/pdf/.
Lote ISO: físico, proveedores, talento, uso aceptable, documental, IA, auditoría, anexos y arquitectura (registro 28.13).
Presentación, marco normativo dual MinTIC/ST y gobierno de seguridad con diagramas PHVA y segregación.