Glosario · Ciberseguridad · Gestión de credenciales
Gestión de secretos: credenciales y claves bajo control
La gestión de secretos regula el almacenamiento, la rotación y el acceso a las credenciales, claves y tokens que usan los sistemas. Su principio central es cero secretos en el código: las credenciales se custodian en una bóveda centralizada, se rotan de forma automática y cada acceso queda registrado.
Qué controla
- Almacenamiento centralizado — credenciales, claves de cifrado y tokens se custodian en una bóveda, no dispersos en archivos, código o variables de entorno.
- Rotación automática — los secretos se renuevan de forma periódica y automática, reduciendo la ventana de exposición ante una fuga.
- Acceso auditado — cada solicitud de un secreto se autentica, autoriza y registra, dejando traza de quién accedió a qué y cuándo.
- Cero secretos en código — se elimina la práctica de incrustar credenciales en repositorios, una de las causas más frecuentes de filtraciones.
Por qué importa en banca regulada
Las credenciales incrustadas en código o sin rotar son un vector recurrente de incidentes. DORA exige a las entidades financieras controles de acceso robustos y protección de la información sensible a lo largo del ciclo de vida TIC, y NIS2 refuerza la gestión de credenciales en sectores esenciales. Una gestión de secretos centralizada y auditada aporta el control y la trazabilidad que el supervisor espera: limita la exposición, permite revocar accesos de inmediato y documenta el uso de cada credencial.
Cómo ayuda Vermont Solutions
Credenciales fuera del código
Ayudamos a entidades financieras a centralizar y auditar la gestión de secretos, eliminando credenciales del código y alineando rotación y acceso con las exigencias de DORA.
Ver gobernanza y cumplimiento →Última actualización: 2026-06-21. Contenido editorial de Vermont Solutions, citable bajo atribución.