Seguridad de Software de Aplicación
Gestionar el ciclo de vida de seguridad del software desarrollado internamente, alojado o adquirido para prevenir, detectar y remediar debilidades de seguridad antes de que puedan impactar a la empresa.
Plantillas de Políticas Relacionadas
Salvaguardas (14)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 16.1 | Establecer y Mantener un Proceso de Desarrollo Seguro de Aplicaciones | Proteger |
IG2
IG3
|
5 | 3 |
| 16.2 | Establecer y Mantener un Proceso para Aceptar y Abordar Vulnerabilidades de Software | Proteger |
IG2
IG3
|
5 | 3 |
| 16.3 | Realizar Análisis de Causa Raíz en Vulnerabilidades de Seguridad | Proteger |
IG2
IG3
|
5 | 3 |
| 16.4 | Establecer y Gestionar un Inventario de Componentes de Software de Terceros | Proteger |
IG2
IG3
|
5 | 3 |
| 16.5 | Usar Componentes de Software de Terceros Actualizados y Confiables | Proteger |
IG2
IG3
|
5 | 3 |
| 16.6 | Establecer y Mantener un Sistema de Clasificación de Severidad y Proceso para Vulnerabilidades de Aplicaciones | Proteger |
IG2
IG3
|
5 | 3 |
| 16.7 | Usar Plantillas Estándar de Configuración de Endurecimiento para Infraestructura de Aplicaciones | Proteger |
IG2
IG3
|
5 | 3 |
| 16.8 | Separar Sistemas de Producción y No Producción | Proteger |
IG2
IG3
|
5 | 3 |
| 16.9 | Capacitar a los Desarrolladores en Conceptos de Seguridad de Aplicaciones y Codificación Segura | Proteger |
IG2
IG3
|
5 | 3 |
| 16.10 | Aplicar Principios de Diseño Seguro en Arquitecturas de Aplicaciones | Proteger |
IG2
IG3
|
5 | 3 |
| 16.11 | Aprovechar Módulos o Servicios Verificados para Componentes de Seguridad de Aplicaciones | Proteger |
IG2
IG3
|
7 | 5 |
| 16.12 | Implementar Verificaciones de Seguridad a Nivel de Código | Proteger |
IG3
|
5 | 3 |
| 16.13 | Realizar Pruebas de Penetración de Aplicaciones | Proteger |
IG3
|
8 | 5 |
| 16.14 | Realizar Modelado de Amenazas | Proteger |
IG3
|
5 | 3 |
Detalles de Verificación de Auditoría
Establecer y mantener un proceso de desarrollo seguro de aplicaciones. En el proceso, abordar elementos como: estándares de diseño seguro de aplicaciones, prácticas de codificación segura, capacitación de desarrolladores, gestión de vulnerabilidades, seguridad de código de terceros y procedimientos de pruebas de seguridad de aplicaciones. Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener un proceso para aceptar y abordar reportes de vulnerabilidades de software, incluyendo proporcionar un medio para que entidades externas reporten. El proceso debe incluir elementos como: una política de manejo de vulnerabilidades que identifique el proceso de reporte, la parte responsable del manejo de reportes de vulnerabilidades y un proceso para recepción, asignación, remediación y pruebas de remediación. Como parte del proceso, usar un sistema de seguimiento de vulnerabilidades que incluya clasificaciones de severidad y métricas para medir el tiempo de identificación, análisis y remediación de vulnerabilidades. Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda. Los desarrolladores de aplicaciones de terceros deben considerar esto como una política externa que ayuda a establecer expectativas para los interesados externos.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Realizar análisis de causa raíz en vulnerabilidades de seguridad. Al revisar vulnerabilidades, el análisis de causa raíz es la tarea de evaluar los problemas subyacentes que crean vulnerabilidades en el código, y permite a los equipos de desarrollo ir más allá de simplemente corregir vulnerabilidades individuales a medida que surgen.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y gestionar un inventario actualizado de componentes de terceros utilizados en el desarrollo, frecuentemente denominado "lista de materiales", así como componentes previstos para uso futuro. Este inventario debe incluir cualquier riesgo que cada componente de terceros pueda representar. Evaluar la lista al menos mensualmente para identificar cualquier cambio o actualización de estos componentes, y validar que el componente aún tenga soporte.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Usar componentes de software de terceros actualizados y confiables. Cuando sea posible, elegir frameworks y bibliotecas establecidos y probados que proporcionen seguridad adecuada. Adquirir estos componentes de fuentes confiables o evaluar el software en busca de vulnerabilidades antes de su uso.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener un sistema de clasificación de severidad y proceso para vulnerabilidades de aplicaciones que facilite la priorización del orden en que se corrigen las vulnerabilidades descubiertas. Este proceso incluye establecer un nivel mínimo de aceptabilidad de seguridad para liberar código o aplicaciones. Las clasificaciones de severidad aportan una forma sistemática de clasificar vulnerabilidades que mejora la gestión de riesgos y ayuda a asegurar que los errores más severos se corrijan primero. Revisar y actualizar el sistema y proceso anualmente.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Usar plantillas estándar de configuración de endurecimiento recomendadas por la industria para componentes de infraestructura de aplicaciones. Esto incluye servidores subyacentes, bases de datos y servidores web, y se aplica a contenedores en la nube, componentes de Plataforma como Servicio (PaaS) y componentes SaaS. No permitir que el software desarrollado internamente debilite el endurecimiento de la configuración.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Mantener entornos separados para sistemas de producción y no producción.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Asegurar que todo el personal de desarrollo de software reciba capacitación en la escritura de código seguro para su entorno de desarrollo y responsabilidades específicas. La capacitación puede incluir principios generales de seguridad y prácticas estándar de seguridad de aplicaciones. Realizar capacitación al menos anualmente y diseñarla de manera que promueva la seguridad dentro del equipo de desarrollo y construya una cultura de seguridad entre los desarrolladores.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Aplicar principios de diseño seguro en arquitecturas de aplicaciones. Los principios de diseño seguro incluyen el concepto de mínimo privilegio y la aplicación de mediación para validar cada operación que el usuario realiza, promoviendo el concepto de "nunca confiar en la entrada del usuario". Los ejemplos incluyen asegurar que la verificación explícita de errores se realice y documente para toda entrada, incluyendo tamaño, tipo de datos y rangos o formatos aceptables. El diseño seguro también significa minimizar la superficie de ataque de la infraestructura de la aplicación, como desactivar puertos y servicios desprotegidos, eliminar programas y archivos innecesarios y renombrar o eliminar cuentas predeterminadas.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Aprovechar módulos o servicios verificados para componentes de seguridad de aplicaciones, como gestión de identidad, cifrado y auditoría y registro. Usar características de la plataforma en funciones de seguridad críticas reducirá la carga de trabajo de los desarrolladores y minimizará la probabilidad de errores de diseño o implementación. Los sistemas operativos modernos proporcionan mecanismos efectivos para identificación, autenticación y autorización y ponen esos mecanismos a disposición de las aplicaciones. Usar solo algoritmos de cifrado estandarizados, actualmente aceptados y extensamente revisados. Los sistemas operativos también proporcionan mecanismos para crear y mantener registros de auditoría seguros.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Aplicar herramientas de análisis estático y dinámico dentro del ciclo de vida de la aplicación para verificar que se sigan prácticas de codificación segura.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Realizar pruebas de penetración de aplicaciones. Para aplicaciones críticas, las pruebas de penetración autenticadas son más adecuadas para encontrar vulnerabilidades de lógica de negocio que el escaneo de código y las pruebas de seguridad automatizadas. Las pruebas de penetración dependen de la habilidad del evaluador para manipular manualmente una aplicación como usuario autenticado y no autenticado.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los escaneos de vulnerabilidades cubren todos los activos dentro del alcance y se ejecutan con la frecuencia definida.
Informes de escaneo con evidencia de alcance y calendario
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las vulnerabilidades se remedian dentro de los SLA definidos por severidad.
Seguimiento de remediación con métricas de cumplimiento de SLA
Las excepciones y aceptaciones de riesgo están documentadas y aprobadas.
Registros de excepción/exención con firma de la dirección
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Informes de escaneo de vulnerabilidades que muestren el alcance y los hallazgos | Por ciclo de escaneo |
| Registro | Seguimiento de remediación de vulnerabilidades con métricas de cumplimiento de SLA | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Realizar modelado de amenazas. El modelado de amenazas es el proceso de identificar y abordar fallas de diseño de seguridad de aplicaciones dentro de un diseño, antes de que se cree el código. Se realiza a través de individuos especialmente capacitados que evalúan el diseño de la aplicación y miden los riesgos de seguridad para cada punto de entrada y nivel de acceso. El objetivo es mapear la aplicación, arquitectura e infraestructura de manera estructurada para comprender sus debilidades.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |