6 min lectura • Guide 770 of 877
Proyectos de Cumplimiento y Regulatorios
Los proyectos de cumplimiento tienen plazos estrictos y requisitos de documentación. GitScrum ayuda a los equipos a rastrear trabajo regulatorio, mantener audit trails y demostrar cumplimiento ante auditores y reguladores.
Planificación de Cumplimiento
Seguimiento de Requisitos
SEGUIMIENTO DE REQUISITOS DE CUMPLIMIENTO:
┌─────────────────────────────────────────────────────────────┐
│ │
│ EPIC DE CUMPLIMIENTO: │
│ ┌─────────────────────────────────────────────────────────┐│
│ │ COMP-001: Implementación de Cumplimiento GDPR ││
│ │ ││
│ │ Regulación: Reglamento General de Protección de Datos ││
│ │ Fecha límite: 25 de Mayo, 2024 ││
│ │ Responsable: @lead-privacidad ││
│ │ Estado: En Progreso (65%) ││
│ │ ││
│ │ REQUISITOS: ││
│ │ Artículo 15 - Derecho de Acceso: ││
│ │ ├── COMP-010: Exportación de datos de usuario ││
│ │ ├── COMP-011: Inventario de datos ││
│ │ └── COMP-012: Proceso de manejo de solicitudes ││
│ │ ││
│ │ Artículo 17 - Derecho al Olvido: ││
│ │ ├── COMP-020: Capacidad de eliminación de datos ││
│ │ ├── COMP-021: Propagación a procesadores ││
│ │ └── COMP-022: Aplicación de política de retención ││
│ │ ││
│ │ Artículo 32 - Seguridad: ││
│ │ ├── COMP-030: Encriptación en reposo ││
│ │ ├── COMP-031: Encriptación en tránsito ││
│ │ └── COMP-032: Controles de acceso ││
│ │ ││
│ │ DOCUMENTACIÓN: ││
│ │ ├── COMP-040: Actualización de política de privacidad ││
│ │ ├── COMP-041: Templates de acuerdo de procesamiento ││
│ │ └── COMP-042: Documentación DPIA ││
│ └─────────────────────────────────────────────────────────┘│
└─────────────────────────────────────────────────────────────┘
Estructura de Tarea de Cumplimiento
ESTRUCTURA DE TAREA DE CUMPLIMIENTO:
┌─────────────────────────────────────────────────────────────┐
│ │
│ TAREA CON CONTEXTO DE CUMPLIMIENTO: │
│ ┌─────────────────────────────────────────────────────────┐│
│ │ COMP-020: Implementar capacidad de eliminación datos ││
│ │ ││
│ │ FUENTE DEL REQUISITO: ││
│ │ GDPR Artículo 17 - Derecho al Olvido ││
│ │ "El interesado tendrá derecho a obtener del ││
│ │ responsable la supresión de los datos personales..." ││
│ │ ││
│ │ CRITERIOS DE ACEPTACIÓN: ││
│ │ ☐ Usuario puede solicitar eliminación desde config ││
│ │ ☐ Todos los datos eliminados en 30 días ││
│ │ ☐ Eliminación confirmada por email ││
│ │ ☐ Eliminación registrada para auditoría ││
│ │ ☐ Sistemas de terceros notificados ││
│ │ ││
│ │ ALCANCE: ││
│ │ Tipos de datos: Perfil, actividad, preferencias ││
│ │ Excepciones: Registros financieros (retención legal) ││
│ │ ││
│ │ EVIDENCIA REQUERIDA: ││
│ │ • Resultados de tests mostrando que funciona ││
│ │ • Audit log de eliminación de prueba ││
│ │ • Aprobación de legal ││
│ │ ││
│ │ FECHA LÍMITE: 30 Abril, 2024 (antes de deadline GDPR) ││
│ │ ESTADO: En Desarrollo ││
│ └─────────────────────────────────────────────────────────┘│
└─────────────────────────────────────────────────────────────┘
Audit Trails
Documentando Cumplimiento
DOCUMENTACIÓN DE AUDITORÍA:
┌─────────────────────────────────────────────────────────────┐
│ │
│ PARA CADA REQUISITO, DOCUMENTAR: │
│ │
│ EVIDENCIA DE REQUISITO: │
│ ┌─────────────────────────────────────────────────────────┐│
│ │ COMP-020: Eliminación de Datos - EVIDENCIA ││
│ │ ││
│ │ REQUISITO CUMPLIDO: ✅ Sí ││
│ │ FECHA DE COMPLETADO: 25 Abril, 2024 ││
│ │ ││
│ │ IMPLEMENTACIÓN: ││
│ │ • Código: PR #1234 (merged 20 Abril) ││
│ │ • Tests: QA-567 (pasados 22 Abril) ││
│ │ • Deploy: Lanzado v2.5.0 (25 Abril) ││
│ │ ││
│ │ EVIDENCIA: ││
│ │ • Reporte de tests: [link a resultados] ││
│ │ • Muestra de audit log: [link a muestra] ││
│ │ • Screenshot del flujo de usuario: [link] ││
│ │ ││
│ │ APROBACIONES: ││
│ │ • Técnica: @tech-lead (22 Abril) ││
│ │ • Legal: @legal-counsel (24 Abril) ││
│ │ • Privacidad: @dpo (25 Abril) ││
│ │ ││
│ │ NOTAS: ││
│ │ Registros financieros excluidos por req. retención. ││
│ └─────────────────────────────────────────────────────────┘│
└─────────────────────────────────────────────────────────────┘
Tipos de Cumplimiento
Regulaciones Comunes
TIPOS DE PROYECTOS DE CUMPLIMIENTO:
┌─────────────────────────────────────────────────────────────┐
│ │
│ PRIVACIDAD DE DATOS: │
│ ├── GDPR (Unión Europea) │
│ ├── CCPA/CPRA (California) │
│ ├── LGPD (Brasil) │
│ └── PIPEDA (Canadá) │
│ │
│ SEGURIDAD: │
│ ├── SOC 2 │
│ ├── ISO 27001 │
│ ├── PCI DSS (pagos) │
│ └── HIPAA (salud) │
│ │
│ INDUSTRIA: │
│ ├── SOX (financiero) │
│ ├── FDA (medical devices) │
│ ├── FedRAMP (gobierno US) │
│ └── FINRA (servicios financieros) │
│ │
│ ACCESIBILIDAD: │
│ ├── WCAG 2.1 AA │
│ ├── ADA (US) │
│ └── EN 301 549 (Europa) │
│ │
└─────────────────────────────────────────────────────────────┘
Priorización
Cumplimiento vs Features
PRIORIZANDO TRABAJO DE CUMPLIMIENTO:
┌─────────────────────────────────────────────────────────────┐
│ │
│ REGLA: Cumplimiento tiene fechas límite duras con │
│ consecuencias legales/financieras │
│ │
│ ENFOQUE: │
│ ├── Planificar cumplimiento primero │
│ ├── Reservar capacidad dedicada │
│ ├── Features se ajustan alrededor │
│ ├── Nunca desprioritizar mandatorios │
│ └── Buffer para issues inesperados │
│ │
│ PLANIFICACIÓN DE SPRINT: │
│ ┌─────────────────────────────────────────────────────────┐│
│ │ Capacidad Total: 100 puntos ││
│ │ ││
│ │ Cumplimiento: 30 puntos (mandatorio) ││
│ │ Features: 55 puntos ││
│ │ Buffer: 15 puntos ││
│ └─────────────────────────────────────────────────────────┘│
│ │
│ MANEJO DE RIESGO: │
│ • Rastrear fechas límite prominentemente │
│ • Alertas tempranas para plazos acercándose │
│ • Escalación automática si en riesgo │
│ │
└─────────────────────────────────────────────────────────────┘