SGSI ISO/IEC 27001:2022
Ciclo PHVA, SoA (Cap. 28.8), matrices de controles y auditoría (Caps. 3–4, 27–28). Certificación formal en roadmap; documentación v1.0 publicada.
Trust Center · Centro de Confianza
Manual Integral de Seguridad, Privacidad y Confianza Digital · SICOVIG360 v1.0 · Metro Risk Management Group
Última actualización: 9 de julio de 2026 · SICOVIG360-MIS v1.0
SICOVIG360 es la plataforma tecnológica de Metro Risk Management Group para academias y empresas de vigilancia y seguridad privada, con módulo SARLAFT 2.0 ante Supervigilancia. Este portal refleja el Manual Integral MIS (serie SICOVIG360-MIS): SGSI ISO/IEC 27001:2022, privacidad ISO/IEC 27701 y controles operativos del sector.
Ciclo PHVA, SoA (Cap. 28.8), matrices de controles y auditoría (Caps. 3–4, 27–28). Certificación formal en roadmap; documentación v1.0 publicada.
Clasificación de información (Cap. 6), privacidad y PII (Cap. 16), biometría reforzada (Cap. 9). Políticas publicadas en el sitio.
Controles para debida diligencia, contrapartes, evidencias de formación y operación en sede de academias de vigilancia.
29 PDFs independientes (SICOVIG360-MIS-XX) con encabezado, pie MinTIC+ST y diagramas Kroki. Descargables en Recursos.
SICOVIG360 aplica el nivel más restrictivo cuando un dato encaja en varias clases. La biometría nunca se trata como información pública.
| Nivel | Ejemplos | Control |
|---|---|---|
| Pública | Portal comercial, centro de confianza, normativa pública | Publicación aprobada |
| Interna | Manual MIS, procedimientos, diagramas de arquitectura | Acceso por rol, versionamiento |
| Confidencial | Expedientes, contratos, reportes SICOV, hallazgos | RBAC, trazabilidad, retención |
| Sensible | Datos de aspirantes, asistencia, certificados, contacto | Ley 1581, ISO 27701, sede scope |
| Biométrica | Huella U.are.U, facial, plantillas AFIS, cotejos | Minimización, sin logs en claro, Cap. 9 |
| Crítica | Credenciales, claves, BD productiva, hashes integridad | .env, backups, acceso mínimo |
Marco normativo del Capítulo 2 (MIS-02). SICOVIG360 se ancla en Supervigilancia (SARLAFT 2.0 / sector vigilancia) y, cuando aplique, MinTIC, sobre la base constitucional y de datos personales.
Contexto, liderazgo, riesgos, SoA, controles Anexo A, mejora continua (Caps. 3–4, 27–28).
MIS-02, 28
Controles operativos: acceso, criptografía, desarrollo, proveedores, logging.
MIS-02, 7–19
Extensión de privacidad; soporte Ley 1581 y datos biométricos.
MIS-02, 16
Finalidad, autorización, derechos del titular, encargados, medidas sobre sensibles.
MIS-02, 16
Valor jurídico de mensajes de datos, firmas electrónicas, hash de integridad.
MIS-02, 15
Modelo colombiano de seguridad y privacidad para servicios digitales del Estado.
MIS-02, 28
Prestador de Servicios Ciudadanos Digitales Especiales; paquete documental MIS.
MIS-02, 28.12
Lineamientos de autenticación, trazabilidad y protección de canales IdP/SCDE.
MIS-02, 08
Circular Externa 20240000245 y operación para academias / empresas de vigilancia.
MIS-02, 10
Continuidad del negocio; RTO/RPO, backups, sitio alterno (Cap. 18).
MIS-18
Metodología de identificación, valoración y tratamiento (Cap. 4, matriz 28.3).
MIS-04
Govern · Identify · Protect · Detect · Respond · Recover mapeado a capítulos MIS.
MIS-02
SDLC, SAST/DAST, hardening (Caps. 11–12, 19).
MIS-11, 12, 19
Muestra de la Declaración de Aplicabilidad (SoA) — Capítulo 28.8. Leyenda: I = Implementado, P = Parcial, G = Gap.
Políticas de seguridad de la información
Manual Caps. 1–3; firma Dirección pendiente
Cap. 03
Inventario de activos
Matriz 28.4; inventario físico kioscos pendiente
Cap. 05
Control de acceso
Spatie Permission, config/permisos.php, EnsureSedeScope
Cap. 07
Relaciones con proveedores
Cap. 22 Dongee/veridian360/DigitalPersona; registro formal pendiente
Cap. 22
Privacidad y PII
Cap. 16; matriz finalidades ARCO en progreso
Cap. 16
Seguridad física
Cap. 21; evidencia CPD Dongee y sede organismo externa
Cap. 21
Registro de eventos (logging)
Activity log, hallazgos, eventos SCDE
Cap. 15, 17
Uso de criptografía
TLS, hash SHA-256 SICOV; cifrado formal campos sensibles pendiente
Cap. 14
| Cláusula / dominio | Capítulos MIS | Estado |
|---|---|---|
| Cl.4 Contexto | 1–2 | Implementado documental |
| Cl.5 Liderazgo | 3 | Parcial: firma formal pendiente |
| Cl.6 Riesgos | 4, 28.3 | Parcial |
| A.6 Personas | 23–24 | Documentado |
| A.8 Tecnología | 7–19, A | Mixto por componente |
Políticas públicas del sitio y serie documental MIS (SICOVIG360-MIS-XX). Los capítulos del Manual solo pueden descargarse con sesión iniciada como super administrador o auditor; el resto debe solicitarlos por correo.
Serie SICOVIG360-MIS-XX · v1.0 · índice en Manual.md
Los documentos del Manual son de acceso restringido. Solo super administrador o auditor pueden descargarlos tras iniciar sesión. Si necesita un capítulo, solicítelo a info@sicovig360.com.
Capítulo 1 — Presentación del Sistema
Capítulo 2 — Marco Normativo
Capítulo 3 — Gobierno de Seguridad
Capítulo 4 — Gestión de Riesgos
Capítulo 5 — Gestión de Activos
Capítulo 6 — Clasificación de la Información
Capítulo 7 — Identidad Digital y Control de Acceso
Capítulo 8 — Autenticación Digital
Capítulo 9 — Seguridad Biométrica
Capítulo 10 — Interoperabilidad
Capítulo 11 — Desarrollo Seguro
Capítulo 12 — Seguridad de APIs
Capítulo 13 — Infraestructura y Cloud
Capítulo 14 — Criptografía
Capítulo 15 — Evidencia Digital
Capítulo 16 — Privacidad y Protección de Datos
Capítulo 17 — Gestión de Incidentes
Capítulo 18 — Continuidad del Negocio
Capítulo 19 — Gestión de Vulnerabilidades
Capítulo 20 — Gestión de Cambios
Capítulo 21 — Seguridad Física
Capítulo 22 — Gestión de Proveedores
Capítulo 23 — Seguridad del Talento Humano
Capítulo 24 — Uso Aceptable
Capítulo 25 — Gestión Documental
Capítulo 26 — Inteligencia Artificial Responsable
Capítulo 27 — Cumplimiento y Auditoría
Capítulo 28 — Anexos (SoA, matrices MSPI/MinTIC/PSCDE)
Anexo A — Arquitectura de Seguridad
Proveedores críticos documentados en Capítulo 22 (MIS-22). Criterios: criticidad, tratamiento de datos e impacto regulatorio Supervigilancia / MinTIC.
| Proveedor | Propósito | Rol | Ubicación | Datos |
|---|---|---|---|---|
| Dongee MIS-22 | Hosting sicovig360.com, PHP/Laravel, MySQL worlvetting_sicovig360 | Encargado / infraestructura | Canadá / Colombia | Datos operativos, logs, respaldos |
| veridian360 MIS-22 | site-b (InsightFace) y afis-matcher (SourceAFIS) | Procesamiento biométrico | Estados Unidos | Imágenes faciales, plantillas AFIS |
| DigitalPersona SDK MIS-22 | Captura U.are.U 4500 en kiosco PC Windows (sede organismo) | SDK local / kiosco-agent:8765 | Colombia · on-premise sede | Imágenes de huella → template AFIS |
Integración con serie SICOVIG360-MIS-01…28 + Anexo A, SoA Cap. 28.8 y proveedores Cap. 22.
Generación docs:manual-pdf --all con diagramas Kroki. Publicación en /docs/contratacion/pdf/.
Lote ISO: físico, proveedores, talento, uso aceptable, documental, IA, auditoría, anexos y arquitectura (registro 28.13).
Presentación, marco normativo dual MinTIC/ST y gobierno de seguridad con diagramas PHVA y segregación.