📁 Dossier técnico de cumplimiento ENS y RGPD para ShFlow

El presente documento está orientado a la validación, auditoría y presentación ante terceros (clientes, administración, inversores, auditores).

Está estructurado en secciones claras, con trazabilidad, medidas técnicas y anexos reproducibles.

1. 🧭 Introducción

  • Breve descripción de ShFlow: propósito, arquitectura modular, uso previsto.
  • Contexto legal: por qué se evalúa frente al ENS y RGPD.
  • Alcance del análisis: versión evaluada, entornos de uso, tipo de datos tratados.

2. 🛡️ Cumplimiento ENS (Esquema Nacional de Seguridad)

2.1 Clasificación del sistema

  • Nivel de seguridad aplicable: básico, medio o alto.
  • Justificación según tipo de datos, usuarios y entorno.

2.2 Medidas técnicas aplicadas (Anexo II del RD 311/2022)

  • Control de acceso: SSH, vault, separación de entornos.
  • Trazabilidad: logs por host, por tarea, por módulo.
  • Protección frente a código malicioso: set -euo pipefail, validación de argumentos.
  • Gestión de vulnerabilidades: modularidad, pruebas regresivas, control de versiones.
  • Disponibilidad y recuperación: ejecución paralela, aislamiento por host.

2.3 Evidencias de cumplimiento

  • Capturas de logs, ejemplos de trazas, estructura de echolog, validación de argumentos.
  • Referencia a docs/engine/verbosity.md, docs/tests/README.md, etc.

3. 🔐 Cumplimiento RGPD

3.1 Rol del software

  • ShFlow como herramienta auxiliar de automatización.
  • No almacena datos personales directamente, pero puede operar sobre ellos.

3.2 Medidas de protección de datos

  • Vault cifrado con GPG y clave externa (VAULT_KEY)
  • Interpolación segura, sin persistencia de datos sensibles.
  • Control de acceso por usuario remoto (REMOTE_USER)
  • Captura controlada de errores y logs (capture_log, capture_err)

3.3 Trazabilidad y rectificación

  • Variables registradas (register) accesibles por clave.
  • Logs por host y por tarea, exportables.
  • Posibilidad de anonimización en módulos personalizados.

3.4 Evaluación de impacto (si aplica)

  • Plantilla de EIPD si ShFlow se usa en entornos con datos sensibles.
  • Recomendación de cláusulas legales si se comercializa como SaaS.

4. 📚 Documentación y anexos

  • docs/engine/verbosity.md: sistema de trazas por nivel
  • docs/tests/README.md: lote de pruebas funcionales
  • docs/compliance/ENS-RGPD.md: resumen legal y técnico
  • vault/: ejemplo de cifrado y recuperación
  • logs/: ejemplos de trazas por host y por tarea

5. 🧠 Recomendaciones finales

  • Auditoría externa ENS si se busca certificación oficial.
  • Inclusión de cláusulas RGPD en contratos si se comercializa.
  • Refuerzo de trazabilidad en módulos críticos (run, vault, assert).
  • Validación continua con lote de pruebas tras cada release.