SICOT

Trust Center · Centro de Confianza

ISCB · Portal de Confianza

Manual Integral de Seguridad, Privacidad y Confianza Digital · SICOT v1.0 · ISCB

Última actualización: 9 de julio de 2026 · SICOT-MIS v1.0

Un SGSI, dos trámites regulatorios

SICOT es la plataforma tecnológica de ISCB que opera como software SICOV para CEA, CIA y OT, y como base para la habilitación como Prestador de Servicios Ciudadanos Digitales Especiales (PSCDE) ante MinTIC. Este portal refleja el Manual Integral MIS (serie SICOT-MIS-01…28, Anexo A): SGSI ISO/IEC 27001:2022, privacidad ISO/IEC 27701, MSPI y cumplimiento dual MinTIC + SuperTransporte.

SGSI ISO/IEC 27001:2022

Ciclo PHVA, SoA (Cap. 28.8), matrices de controles y auditoría (Caps. 3–4, 27–28). Certificación formal en roadmap; documentación v1.0 publicada.

Privacidad Ley 1581 + ISO 27701

Clasificación de información (Cap. 6), privacidad y PII (Cap. 16), biometría reforzada (Cap. 9). Políticas publicadas en el sitio.

PSCDE / SICOV · uso dual

Mismo núcleo de controles atiende IdP/SCDE/evidencias (MinTIC) y trazabilidad SICOV/VIGIA 2 (SuperTransporte). Ver Cap. 1 y 2.

Serie documental MIS

29 PDFs independientes (SICOT-MIS-XX) con encabezado, pie MinTIC+ST y diagramas Kroki. Descargables en Recursos.

Clasificación de la información (Cap. 6)

SICOT aplica el nivel más restrictivo cuando un dato encaja en varias clases. La biometría nunca se trata como información pública.

Nivel Ejemplos Control
Pública Portal comercial, centro de confianza, normativa pública Publicación aprobada
Interna Manual MIS, procedimientos, diagramas de arquitectura Acceso por rol, versionamiento
Confidencial Expedientes, contratos, reportes SICOV, hallazgos RBAC, trazabilidad, retención
Sensible Datos de aspirantes, asistencia, certificados, contacto Ley 1581, ISO 27701, sede scope
Biométrica Huella U.are.U, facial, plantillas AFIS, cotejos Minimización, sin logs en claro, Cap. 9
Crítica Credenciales, claves, BD productiva, hashes integridad .env, backups, acceso mínimo

Marco normativo del Capítulo 2 (MIS-02). SICOT se ancla en ambas ramas sectoriales — MinTIC y SuperTransporte — sobre la base constitucional y de datos personales.

ISO 27001 SGSI documentado v1.0

ISO/IEC 27001:2022

Contexto, liderazgo, riesgos, SoA, controles Anexo A, mejora continua (Caps. 3–4, 27–28).

MIS-02, 28

ISO 27002 Catálogo referenciado

ISO/IEC 27002:2022

Controles operativos: acceso, criptografía, desarrollo, proveedores, logging.

MIS-02, 7–19

ISO 27701 PIMS integrado

ISO/IEC 27701

Extensión de privacidad; soporte Ley 1581 y datos biométricos.

MIS-02, 16

Ley 1581 Política publicada

Ley 1581 de 2012

Finalidad, autorización, derechos del titular, encargados, medidas sobre sensibles.

MIS-02, 16

Ley 527 Comercio electrónico

Ley 527 de 1999

Valor jurídico de mensajes de datos, firmas electrónicas, hash de integridad SCDE.

MIS-02, 15

MSPI Matriz 28.10

MSPI · MinTIC

Modelo colombiano de seguridad y privacidad para servicios digitales del Estado.

MIS-02, 28

Res 1951 Habilitación en curso

Res. 001951/2022 · PSCDE

Prestador de Servicios Ciudadanos Digitales Especiales; paquete documental MIS.

MIS-02, 28.12

Res 2160 SCD técnicos

Resolución 2160/2020

Lineamientos de autenticación, trazabilidad y protección de canales IdP/SCDE.

MIS-02, 08

SuperTransporte Aliado tecnológico

SICOV / VIGIA 2 · ST

Anexo técnico CEA/CIA/OT, trazabilidad formación, reportes RUNT/VIGIA.

MIS-02, 10

ISO 22301 BCP/DRP

ISO 22301

Continuidad del negocio; RTO/RPO, backups, sitio alterno (Cap. 18).

MIS-18

ISO 31000 Gestión de riesgos

ISO 31000

Metodología de identificación, valoración y tratamiento (Cap. 4, matriz 28.3).

MIS-04

NIST CSF Referencia complementaria

NIST CSF 2.0

Govern · Identify · Protect · Detect · Respond · Recover mapeado a capítulos MIS.

MIS-02

OWASP Desarrollo seguro

OWASP ASVS / API Top 10

SDLC, SAST/DAST, hardening (Caps. 11–12, 19).

MIS-11, 12, 19

Muestra de la Declaración de Aplicabilidad (SoA) — Capítulo 28.8. Leyenda: I = Implementado, P = Parcial, G = Gap.

Declaración de Aplicabilidad (SoA) · Cap. 28.8

  • A.5.1

    Políticas de seguridad de la información

    Manual Caps. 1–3; firma Dirección pendiente

    Cap. 03

    Implementado
  • A.5.9

    Inventario de activos

    Matriz 28.4; inventario físico kioscos pendiente

    Cap. 05

    Parcial
  • A.5.15

    Control de acceso

    Spatie Permission, config/permisos.php, EnsureSedeScope

    Cap. 07

    Implementado
  • A.5.19

    Relaciones con proveedores

    Cap. 22 Dongee/veridian360/DigitalPersona; registro formal pendiente

    Cap. 22

    Parcial
  • A.5.34

    Privacidad y PII

    Cap. 16; matriz finalidades ARCO en progreso

    Cap. 16

    Parcial
  • A.7

    Seguridad física

    Cap. 21; evidencia CPD Dongee y sede organismo externa

    Cap. 21

    Parcial
  • A.8.15

    Registro de eventos (logging)

    Activity log, hallazgos, eventos SCDE

    Cap. 15, 17

    Implementado
  • A.8.24

    Uso de criptografía

    TLS, hash SHA-256 SICOV; cifrado formal campos sensibles pendiente

    Cap. 14

    Parcial

Matriz de cláusulas ISO/IEC 27001 · Cap. 28.9

Cláusula / dominio Capítulos MIS Estado
Cl.4 Contexto 1–2 Implementado documental
Cl.5 Liderazgo 3 Parcial: firma formal pendiente
Cl.6 Riesgos 4, 28.3 Parcial
A.6 Personas 23–24 Documentado
A.8 Tecnología 7–19, A Mixto por componente

Políticas públicas del sitio y serie documental MIS (SICOT-MIS-XX). Los capítulos del Manual solo pueden descargarse con sesión iniciada como super administrador o auditor; el resto debe solicitarlos por correo.

Políticas del sitio

Política Público MIS-16, MIS-06

Política de tratamiento de datos personales

Ver documento
Política Público MIS-16

Política de privacidad del sitio web

Ver documento
Política Público MIS-16

Política de cookies

Ver documento
Legal Público MIS-01, MIS-24

Términos y condiciones de uso

Ver documento
Legal Público MIS-01, MIS-02

Aviso legal

Ver documento

Manual Integral MIS · 29 capítulos PDF

Serie SICOT-MIS-XX · v1.0 · índice en Manual.md

Los documentos del Manual son de acceso restringido. Solo super administrador o auditor pueden descargarlos tras iniciar sesión. Si necesita un capítulo, solicítelo a info@sicov360.com.

Iniciar sesión

Contexto

SICOT-MIS-01 Restringido

Capítulo 1 — Presentación del Sistema

SICOT-MIS-02 Restringido

Capítulo 2 — Marco Normativo

Gobierno

SICOT-MIS-03 Restringido

Capítulo 3 — Gobierno de Seguridad

SICOT-MIS-04 Restringido

Capítulo 4 — Gestión de Riesgos

Activos

SICOT-MIS-05 Restringido

Capítulo 5 — Gestión de Activos

SICOT-MIS-06 Restringido

Capítulo 6 — Clasificación de la Información

Acceso

SICOT-MIS-07 Restringido

Capítulo 7 — Identidad Digital y Control de Acceso

SICOT-MIS-08 Restringido

Capítulo 8 — Autenticación Digital

Biometría

SICOT-MIS-09 Restringido

Capítulo 9 — Seguridad Biométrica

Integración

SICOT-MIS-10 Restringido

Capítulo 10 — Interoperabilidad

Desarrollo

SICOT-MIS-11 Restringido

Capítulo 11 — Desarrollo Seguro

SICOT-MIS-12 Restringido

Capítulo 12 — Seguridad de APIs

Infraestructura

SICOT-MIS-13 Restringido

Capítulo 13 — Infraestructura y Cloud

SICOT-MIS-14 Restringido

Capítulo 14 — Criptografía

Evidencia

SICOT-MIS-15 Restringido

Capítulo 15 — Evidencia Digital

Privacidad

SICOT-MIS-16 Restringido

Capítulo 16 — Privacidad y Protección de Datos

Operaciones

SICOT-MIS-17 Restringido

Capítulo 17 — Gestión de Incidentes

SICOT-MIS-18 Restringido

Capítulo 18 — Continuidad del Negocio

SICOT-MIS-19 Restringido

Capítulo 19 — Gestión de Vulnerabilidades

SICOT-MIS-20 Restringido

Capítulo 20 — Gestión de Cambios

Físico

SICOT-MIS-21 Restringido

Capítulo 21 — Seguridad Física

Proveedores

SICOT-MIS-22 Restringido

Capítulo 22 — Gestión de Proveedores

Personas

SICOT-MIS-23 Restringido

Capítulo 23 — Seguridad del Talento Humano

SICOT-MIS-24 Restringido

Capítulo 24 — Uso Aceptable

Cumplimiento

SICOT-MIS-25 Restringido

Capítulo 25 — Gestión Documental

SICOT-MIS-26 Restringido

Capítulo 26 — Inteligencia Artificial Responsable

SICOT-MIS-27 Restringido

Capítulo 27 — Cumplimiento y Auditoría

Anexos

SICOT-MIS-28 Restringido

Capítulo 28 — Anexos (SoA, matrices MSPI/MinTIC/PSCDE)

SICOT-MIS-A Restringido

Anexo A — Arquitectura de Seguridad

Proveedores críticos documentados en Capítulo 22 (MIS-22). Criterios: criticidad, tratamiento de datos, impacto regulatorio MinTIC/SuperTransporte.

Proveedor Propósito Rol Ubicación Datos
Dongee MIS-22 Hosting sicov360.com, PHP/Laravel, MySQL worlvetting_cea360 Encargado / infraestructura Canadá / Colombia Datos operativos, logs, respaldos
veridian360 MIS-22 site-b (InsightFace) y afis-matcher (SourceAFIS) Procesamiento biométrico Estados Unidos Imágenes faciales, plantillas AFIS
DigitalPersona SDK MIS-22 Captura U.are.U 4500 en kiosco PC Windows (sede organismo) SDK local / kiosco-agent:8765 Colombia · on-premise sede Imágenes de huella → template AFIS
¿Quién puede descargar los PDF del Manual MIS?
Solo usuarios autenticados con rol super_admin o auditor ven el enlace Descargar PDF en el Portal de Confianza. Cualquier otra persona (visitante u otro rol) debe solicitar los capítulos por correo a info@sicov360.com. Los archivos no están expuestos en URLs públicas.
¿Qué es el Manual Integral MIS y cómo se relaciona con este portal?
Es la serie documental SICOT-MIS (Caps. 01–28 + Anexo A) descrita en docs/contratacion/Manual.md. Cada capítulo es un PDF independiente con el mismo SGSI. Este Portal de Confianza resume y enlaza esa evidencia para due diligence MinTIC, SuperTransporte y clientes SICOV.
¿ISCB tiene certificación ISO 27001/27701?
El Manual v1.0 documenta el SGSI alineado a ISO/IEC 27001:2022 e ISO/IEC 27701. MinTIC exige certificación o carta de compromiso en plazo (típicamente 2 años). La certificación formal está en roadmap; el portal refleja el estado honesto SoA (Cap. 28.8).
¿Dónde se almacenan los datos biométricos?
Captura en kiosco PC (DigitalPersona/U.are.U) → kiosco-agent → AfisService → afis-matcher; facial vía site-b. Plantillas en MySQL con acceso RBAC. Detalle: Capítulos 9, 22 y Anexo A. No se registran imágenes biométricas en claro en logs.
¿RNEC está integrado?
No en producción real: el Manual declara gap RNEC/ABIS autorizado como pendiente (Caps. 28.11–28.12). MockRnecClient en desarrollo; no se declara cotejo oficial RNEC hasta habilitación.
¿Cómo solicito anexos confidenciales (SoA completa, pentest)?
Capítulo 28 (matrices SoA, MSPI, MinTIC, PSCDE) puede requerir solicitud comercial. Escriba a info@sicov360.com con organización, NIT y documentos requeridos.
¿Cuál es el RTO/RPO?
Definidos en Capítulo 18 (BCP/DRP): backups Dongee, plan DR, comunicación a organismos. Indicadores operativos se comparten en due diligence; SLA hosting sujeto a contrato Dongee.

Portal de Confianza alineado al Manual MIS v1.0

Integración con serie SICOT-MIS-01…28 + Anexo A, SoA Cap. 28.8 y proveedores Cap. 22.

Serie PDF MIS completa (29 documentos)

Generación docs:manual-pdf --all con diagramas Kroki. Publicación en /docs/contratacion/pdf/.

Capítulos 21–28 y Anexo A

Lote ISO: físico, proveedores, talento, uso aceptable, documental, IA, auditoría, anexos y arquitectura (registro 28.13).

Capítulos 1–3 publicados

Presentación, marco normativo dual MinTIC/ST y gobierno de seguridad con diagramas PHVA y segregación.