Tema
TMPL-003: Formulario de Solicitud de Cambio (Change Request)
| Campo | Valor |
|---|---|
| ID | TMPL-003 |
| PCI DSS | Requisito 6.5.1 |
| Pregunta ControlCase | Q41 |
| Referencia | POL-005 (SDLC & Change Management) §8 |
Información General
| Campo | Valor |
|---|---|
| ID del Cambio | CHG-- |
| Solicitante | |
| Fecha de solicitud | //____ |
| Fecha deseada de implementación | //____ |
Clasificación del Cambio
| Tipo | Seleccionar |
|---|---|
| ☐ Estándar | Cambio pre-aprobado de bajo riesgo (deploy de feature, actualización de dependencia menor) |
| ☐ Significativo | Cambio que afecta la arquitectura, seguridad o integridad del CDE |
| ☐ Seguridad | Parche de seguridad, rotación de claves, corrección de vulnerabilidad |
| ☐ Emergencia | Hotfix crítico que requiere proceso expedito |
Descripción del Cambio
Resumen
(Describir qué se cambia y por qué)
Componentes Afectados
| Componente | Tipo de Cambio |
|---|---|
| ☐ auth-service | ☐ Código ☐ Config ☐ Dependencias |
| ☐ tokenization-service | ☐ Código ☐ Config ☐ Dependencias |
| ☐ card-vault-service | ☐ Código ☐ Config ☐ Dependencias |
| ☐ payments-api | ☐ Código ☐ Config ☐ Dependencias |
| ☐ Kong Gateway | ☐ Routes ☐ Plugins ☐ Config |
| ☐ Network Policies | ☐ Agregar ☐ Modificar ☐ Eliminar |
| ☐ Base de datos | ☐ Schema ☐ Datos ☐ Config |
| ☐ Infraestructura (K8s/DO) | ☐ Nodos ☐ Volumes ☐ Firewall |
| ☐ CI/CD Pipeline | ☐ Workflow ☐ Secrets ☐ Config |
| ☐ Otro: ____________ |
¿Afecta al CDE?
- [ ] Sí — Se requiere evaluación de impacto de seguridad adicional
- [ ] No
¿Afecta la funcionalidad de seguridad?
- [ ] Sí (autenticación, cifrado, logging, controles de acceso)
- [ ] No
Evaluación de Impacto y Riesgo
| Pregunta | Respuesta |
|---|---|
| ¿Qué pasa si el cambio falla? | |
| ¿Afecta la disponibilidad del servicio? | ☐ Sí (downtime estimado: _____) ☐ No |
| ¿Requiere ventana de mantenimiento? | ☐ Sí ☐ No |
| ¿Se han realizado pruebas? | ☐ Unit tests ☐ Integration tests ☐ Staging deploy ☐ Smoke tests |
| Riesgo del cambio | ☐ Bajo ☐ Medio ☐ Alto |
Plan de Rollback
(Describir cómo revertir el cambio si algo sale mal)
| Paso | Acción | Responsable | Tiempo estimado |
|---|---|---|---|
| 1 | |||
| 2 | |||
| 3 |
Evidencia de Pruebas
| Prueba | Resultado | Enlace/Referencia |
|---|---|---|
| Unit tests | ☐ Pass ☐ Fail | PR #____ |
| Integration tests | ☐ Pass ☐ Fail | CI run #____ |
| Code review | ☐ Aprobado por: ____________ | PR #____ |
| Security review (si aplica) | ☐ Aprobado ☐ N/A | |
| Staging deployment | ☐ Exitoso ☐ N/A |
Aprobaciones
Cambio Estándar
| Rol | Nombre | ¿Aprueba? | Fecha |
|---|---|---|---|
| Reviewer de código (distinto al autor) | ☐ Sí | //____ |
Cambio Significativo / Seguridad
| Rol | Nombre | ¿Aprueba? | Fecha |
|---|---|---|---|
| Reviewer de código | ☐ Sí | //____ | |
| DevOps Lead | ☐ Sí ☐ No | //____ | |
| CISO (si afecta CDE/seguridad) | ☐ Sí ☐ No | //____ |
Cambio de Emergencia
| Rol | Nombre | ¿Aprueba? | Fecha |
|---|---|---|---|
| DevOps Lead (verbal + post-facto escrito) | ☐ Sí | //____ | |
| CISO (revisión post-facto en 48h) | ☐ Sí | //____ |
Post-Implementación
| Verificación | Estado |
|---|---|
| Cambio implementado correctamente | ☐ Sí |
| Smoke tests post-deploy pasan | ☐ Sí |
| Monitoreo verificado (sin anomalías) | ☐ Sí |
| Documentación actualizada (si aplica) | ☐ Sí ☐ N/A |
| Inventario actualizado (si aplica) | ☐ Sí ☐ N/A |
| Implementado por | |
| Fecha de implementación | //____ |