Estado: Pendiente de implementacion
El acceso privilegiado debe otorgarse solo durante el tiempo necesario y luego retirarse automaticamente. UMS debe permitir que los equipos de seguridad aprueben una elevacion temporal, limiten su duracion y conserven una trazabilidad clara de la justificacion.
| Actor | Responsabilidad |
|---|---|
| Solicitante de Acceso Privilegiado | Solicita acceso elevado temporal. |
| Aprobador de Seguridad | Revisa y aprueba o deniega la elevacion. |
| Administrador de Seguridad | Configura la politica de acceso privilegiado. |
| Auditor | Revisa el motivo, la duracion y el resultado de la elevacion. |
Si el solicitante no proporciona una razon suficiente, la solicitud no puede aprobarse.
Si la duracion solicitada excede la politica, el aprobador debe reducirla o denegar la solicitud.
Si el alcance solicitado es especialmente sensible, el sistema puede requerir una aprobacion mas fuerte antes de otorgarlo.
| Regla | Descripcion |
|---|---|
| BR-01 | El acceso privilegiado debe ser temporal y estar aprobado de forma explicita. |
| BR-02 | Cada elevacion debe tener hora de inicio, hora de fin y motivo. |
| BR-03 | El acceso debe eliminarse automaticamente cuando la elevacion vence. |
| BR-04 | Los alcances de mayor riesgo pueden requerir aprobacion adicional o limites mas estrictos. |
| BR-05 | Cada decision debe ser auditable y explicable. |
| BR-06 | Una elevacion privilegiada no debe volverse permanente por accidente. |
| # | Criterio de Aceptacion |
|---|---|
| 1 | Un solicitante puede pedir acceso privilegiado temporal con motivo y duracion. |
| 2 | Un aprobador puede aprobar o denegar la solicitud. |
| 3 | El acceso aprobado expira automaticamente al final de la ventana aprobada. |
| 4 | El sistema registra la justificacion, el revisor, el alcance y la duracion. |
| 5 | El acceso privilegiado vencido deja de estar activo. |
| 6 | Las solicitudes de alto riesgo pueden requerir revision mas estricta antes de aprobarse. |
| Tipo | Referencias |
|---|---|
| Entidades de Dominio | ApprovalWorkflow, ApprovalRequest, AccessEnforcementPolicy, Role, Profile |
| Historias Funcionales | FS-10, FS-16, FS-24 |
| ADRs | ADR-0012, ADR-0016, ADR-0035 |