Módulo
Compliance
Evalúa configuraciones de tus endpoints contra estándares internacionales como CIS Benchmarks, NIST y PCI-DSS. Genera evidencias automáticas para auditorías.
Descripción general
El módulo de Compliance automatiza la evaluación de configuraciones de seguridad en cada endpoint. El agente ejecuta evaluaciones basadas en CIS Benchmarks (Center for Internet Security) y compara las configuraciones actuales del equipo contra las recomendaciones del estándar.
Cada evaluación genera un reporte detallado con los controles que cumplen (pass), los que no cumplen (fail) y los que no aplican (not applicable). El dashboard muestra métricas de cumplimiento en tiempo real y permite generar evidencias para auditorías con un clic.
Funcionalidades principales
Evaluación CIS Benchmarks
Escaneo automatizado de configuraciones del sistema contra CIS Benchmarks para Windows. Cubre políticas de contraseñas, auditoría, firewall, servicios y más.
Dashboard de cumplimiento
Vista consolidada con porcentaje de cumplimiento por endpoint, por control y por área. Identifica rápidamente los equipos más desviados.
Generación de evidencias
Exporta reportes detallados por endpoint con el estado de cada control: descripción, resultado esperado, valor actual y veredicto.
Remediación de desviaciones
Desde el detalle de cada control no cumplido, puedes enviar un job de remediación para corregir la configuración automáticamente.
Evaluación de propiedades personalizadas
Define controles personalizados específicos de tu organización que van más allá de los estándares públicos.
Historial de evaluaciones
Consulta evaluaciones anteriores para comparar la evolución del cumplimiento. Demuestra mejora continua ante auditores.
Frameworks soportados
| Framework | Descripción | Estado |
|---|---|---|
| CIS Benchmarks | Controles de configuración de seguridad del Center for Internet Security. Incluye Windows 10/11, Server 2016/2019/2022. | Disponible |
| NIST CSF | Framework de Ciberseguridad del NIST. Mapeo de controles a las funciones Identify, Protect, Detect, Respond, Recover. | Disponible |
| PCI-DSS | Estándar de seguridad para la industria de tarjetas de pago. Controles requeridos para procesar datos de tarjetas. | Disponible |
| Propiedades personalizadas | Controles definidos por tu organización según políticas internas de seguridad. | Disponible |
Cómo funciona la evaluación
Solicitud: Desde el dashboard, seleccionas los endpoints y el framework a evaluar. Se envía un job de tipo run_compliance al agente.
Ejecución: El agente ejecuta los checks del benchmark en el sistema local. Verifica políticas de auditoría, configuración de firewall, políticas de contraseñas, servicios, etc.
Reporte: El agente envía los resultados al backend: cada control con su veredicto (pass/fail/not applicable), valor esperado y valor encontrado.
Visualización: El dashboard muestra el porcentaje de cumplimiento, detalle por control y opciones de remediación para los controles fallidos.
Casos de uso
Preparación para auditoría PCI-DSS
Escenario: Una empresa de e-commerce procesa pagos con tarjeta y debe pasar la auditoría PCI-DSS anual.
Problema: Preparar la evidencia manualmente toma 3 semanas y siempre quedan controles sin verificar.
Solución con Rondx: Con Compliance, se ejecuta la evaluación PCI-DSS en todos los servidores que procesan datos de tarjetas. Se genera automáticamente el reporte con cada control, su estado y la evidencia. Los controles fallidos se remedian antes de la auditoría.
Cumplimiento continuo de CIS Benchmarks
Escenario: El CISO quiere que todos los equipos cumplan con CIS Level 1 como baseline de seguridad.
Problema: Los equipos se desvían con el tiempo: usuarios cambian configuraciones, actualizaciones alteran políticas.
Solución con Rondx: Se programan evaluaciones CIS periódicas. El dashboard muestra la tendencia de cumplimiento y alerta cuando un equipo baja de un umbral. Remediación automática corrige las desviaciones.
Onboarding seguro de nuevos equipos
Escenario: Cada mes se incorporan entre 10 y 20 nuevos equipos a la red corporativa.
Problema: No hay un proceso estándar para verificar que los equipos nuevos cumplen con la política de seguridad antes de entrar en producción.
Solución con Rondx: Tras instalar el agente, se ejecuta automáticamente una evaluación de compliance. Los equipos que no pasan se remedian antes de ser asignados a usuarios.
Reporte regulatorio para el sector financiero
Escenario: Un banco necesita demostrar a la superintendencia que sus servidores cumplen con NIST CSF.
Problema: Generar reportes de cumplimiento para 500+ servidores es un proceso manual insostenible.
Solución con Rondx: Compliance genera reportes NIST CSF por servidor y consolidados. El historial muestra la evolución del cumplimiento trimestre a trimestre, demostrando mejora continua ante el regulador.
Disponibilidad por plan
El módulo de Compliance está disponible en todos los planes: Startup, Business y Enterprise.