Compliance industrial
desde el día 1
No como afterthought. IEC 62443 SL-2 implementado, 11 GAPs NTSyCS cerrados, IEEE 2030.5 con 10 endpoints TLS. CSIRT Ley 21.663/2024. Open-source significa auditable por cualquier parte.
Mapeo completo de requerimientos SL-2
Cada requerimiento del estándar IEC 62443 Security Level 2
está documentado con su implementación específica en BESSAI. El sistema alcanzó SL-2 en v2.16.0.0 con
el módulo SL2SecurityGate (RBAC + HMAC + PKI).
| Requerimiento (SR) | Categoría | Implementación BESSAI | Estado |
|---|---|---|---|
| SR 1.1 — AC-1 | Control de acceso | OAuth2 + mTLS + Bearer token en API REST | ✅ Implementado |
| SR 1.3 — AC-3 | Control de flujo | Rate limiting SR 7.1 (1.200 req/min por IP) | ✅ Implementado |
| SR 2.1 — AU-1 | Auditoría de eventos | OpenTelemetry → Loki/GCP. Audit trail por setpoint. SHAP explainability BEP-0301 | ✅ Implementado |
| SR 2.3 — AU-3 | Integridad de logs | Logs firmados con cosign. Exportables en formato inmutable | ✅ Implementado |
| SR 3.3 — SC-3 | Control de flujo de datos | SafetyGuard: bloquea setpoints fuera de SOC/temp/potencia antes de escritura al HW | ✅ Implementado |
| SR 3.4 — SI-1 | Validación de software | SBOM CycloneDX + SLSA Level 2 build attestation + cosign image signing | ✅ Implementado |
| SR 4.1 — SI-2 | Integridad de información | TLS 1.2+ en todas las comunicaciones externas. mTLS disponible | ✅ Implementado |
| SR 5.1 — CM-3 | Gestión de cambios | SLSA Level 2 + GitHub Actions pipelines auditables + CHANGELOG obligatorio | ✅ Implementado |
| SR 6.1 — IR-1 | Respuesta a incidentes | PSIRT activo. Responsible disclosure en SECURITY.md. SLA 48h acknowledge | ✅ Implementado |
| SR 7.1 — CP-1 | Continuidad de operación | AI-IDS con failsafe automático. Heartbeat + alertas Prometheus | ✅ Implementado |
| SR 2.8 — SL-2 ✅ v2.16.0.0 | Autenticación avanzada | SL2SecurityGate: RBAC por rol + HMAC payload + PKI interna. Commit d1fa744 |
✅ Implementado |
Compliance regulatorio chileno 100%
Sprint completado 2026-02-28. El SEC BESS Ingestor analizó 41 documentos regulatorios → 11 GAPs → 13 módulos implementados y testeados.
GAP-001 · NTSyCS Cap.4.2
Ramp Rate Limiting
≤10%/min • SafetyGuard
GAP-002 · NTSyCS Cap.4.3
PFR Droop Curve
Respuesta <2s • FrequencyResponseAgent
GAP-003 · NTSyCS Cap.6.1
CEN Telemetría mTLS
HTTPS + mTLS • CENPublisher
GAP-004 · NTSyCS Cap.6.2
SCADA IEC 60870-5-104
Puerto 2404 • IEC104Driver
GAP-007 · Decreto 88/2023
PMGD Anti-arbitrage
Control PMGD • PMGDComplianceEngine
GAP-008 · Ley 21.185
ERNC Almacenamiento
Registro CER • ERNCRegistry
GAP-009 · IEC 62443 SL-2
RBAC + HMAC
PKI + HMAC • SL2SecurityGate
GAP-010 · NTCSE
THD / Flicker
Calidad P• PowerQualityMonitor
GAP-011 · NTSyCS Cap.4.4
Q/V Droop Reactivo
Droop Q/V • ReactiveController
SEC-01 · Ley 21.663/2024
CSIRT Ciberseguridad
Not. automática • SecurityNotifier
SC-01 · CEN 2024
Servicios Complementarios
PFR + AGC + Q/V • ServiciosComplementarios
Un stack de compliance completo
🇨🇱 NTSyCS · CEN Chile
Norma Técnica de Seguridad y Calidad de Servicio del mercado eléctrico chileno (SEN). BESSAI cumple los requerimientos de comunicación, reportería y control DER exigidos por la CNE.
IEEE 2030.5 / SEP 2.0
10 endpoints implementados con TLS 1.2+ obligatorio y mTLS disponible. Compatible con DER Management Systems (DERMS) de distribuidoras y AGCs del sistema.
OpenSSF Best Practices
Badge Passing activo en bestpractices.dev/projects/12001. Cubre más de 60 criterios de seguridad, calidad y mantenibilidad del proyecto open-source.
SBOM + Supply Chain
SBOM CycloneDX generado en cada release. SLSA Level 2 build attestation. Imágenes Docker firmadas con cosign. Provenance verification disponible.
Seguridad activa con inteligencia artificial
BESSAI incluye un sistema de detección de anomalías basado en IsolationForest + z-score que monitorea el comportamiento del sistema en tiempo real.
#alerts del
sistema. Dashboard Grafana con panel dedicado a anomalías detectadas.AI-IDS STATUS · tiempo real
SLAs garantizados Tier-1 (< 100ms)
La latencia es dinero en operaciones VPP. Por ello, el pipeline de CI/CD incluye pruebas automatizadas de carga cruzando parámetros en cada despliegue.
-
P99 Fleet Latency< 100 msMide /fleet_summary bajo 1k req/s
-
Fallback Táctico / HPAACTIVOPods de métricas escalables de [2 - 10] max
-
AlertManager via PromQLHighFleetLatencyAlertas in-vivo sobre viabilidad de carbón y latencia
SLA REPORTING EN CI/CD
En cada Pull Request, el script analyze_locust.py intercepta y penaliza un Build devolviendo (Exit Code 1) si y solo si la latencia generó retardos no esperados sobre la estructura de control distribuida.
Las plantas se mantendrán recibiendo telemetría instantánea y segura.
Reporta vulnerabilidades con confianza
BESSAI tiene un proceso formal de Product Security Incident Response Team (PSIRT). Toda vulnerabilidad reportada recibe respuesta en 48h hábiles y fix en máximo 90 días.
security@bess-solutions.cl. NO abrir un Issue público.SCOPE EN ALCANCE
FUERA DE ALCANCE
VERIFICACIÓN DE IMAGEN DOCKER
cosign verify \
ghcr.io/bess-solutions/open-bess-edge:latest \
--certificate-identity-regexp \
"github.com/bess-solutions" \
--certificate-oidc-issuer \
"https://token.actions.githubusercontent.com"
¿Necesitas documentación adicional?
Para licitaciones, auditorías formales o integraciones reguladas, el equipo puede generar documentación complementaria al mapeo IEC 62443.