Compliance & Security · BESSAI v2.16.0

Compliance industrial
desde el día 1

No como afterthought. IEC 62443 SL-2 implementado, 11 GAPs NTSyCS cerrados, IEEE 2030.5 con 10 endpoints TLS. CSIRT Ley 21.663/2024. Open-source significa auditable por cualquier parte.

✅ IEC 62443 SL-2 ✅ NTSyCS CEN Chile 11 GAPs ✅ IEEE 2030.5 SEP 2.0 ✅ OpenSSF Passing ✅ SLSA Level 2 Apache 2.0
IEC 62443 Mapping ↓ PSIRT / Disclosure ↓ SECURITY.md ↗

IEC 62443 · Security Level 2 — implementado

Mapeo completo de requerimientos SL-2

Cada requerimiento del estándar IEC 62443 Security Level 2 está documentado con su implementación específica en BESSAI. El sistema alcanzó SL-2 en v2.16.0.0 con el módulo SL2SecurityGate (RBAC + HMAC + PKI).

Requerimiento (SR) Categoría Implementación BESSAI Estado
SR 1.1 — AC-1 Control de acceso OAuth2 + mTLS + Bearer token en API REST ✅ Implementado
SR 1.3 — AC-3 Control de flujo Rate limiting SR 7.1 (1.200 req/min por IP) ✅ Implementado
SR 2.1 — AU-1 Auditoría de eventos OpenTelemetry → Loki/GCP. Audit trail por setpoint. SHAP explainability BEP-0301 ✅ Implementado
SR 2.3 — AU-3 Integridad de logs Logs firmados con cosign. Exportables en formato inmutable ✅ Implementado
SR 3.3 — SC-3 Control de flujo de datos SafetyGuard: bloquea setpoints fuera de SOC/temp/potencia antes de escritura al HW ✅ Implementado
SR 3.4 — SI-1 Validación de software SBOM CycloneDX + SLSA Level 2 build attestation + cosign image signing ✅ Implementado
SR 4.1 — SI-2 Integridad de información TLS 1.2+ en todas las comunicaciones externas. mTLS disponible ✅ Implementado
SR 5.1 — CM-3 Gestión de cambios SLSA Level 2 + GitHub Actions pipelines auditables + CHANGELOG obligatorio ✅ Implementado
SR 6.1 — IR-1 Respuesta a incidentes PSIRT activo. Responsible disclosure en SECURITY.md. SLA 48h acknowledge ✅ Implementado
SR 7.1 — CP-1 Continuidad de operación AI-IDS con failsafe automático. Heartbeat + alertas Prometheus ✅ Implementado
SR 2.8 — SL-2 ✅ v2.16.0.0 Autenticación avanzada SL2SecurityGate: RBAC por rol + HMAC payload + PKI interna. Commit d1fa744 ✅ Implementado
Mapeo completo en GitHub ↗

NTSyCS CEN Chile · 11 GAPs cerrados

Compliance regulatorio chileno 100%

Sprint completado 2026-02-28. El SEC BESS Ingestor analizó 41 documentos regulatorios → 11 GAPs → 13 módulos implementados y testeados.

GAP-001 · NTSyCS Cap.4.2

Ramp Rate Limiting

≤10%/min • SafetyGuard

✅ Implementado

GAP-002 · NTSyCS Cap.4.3

PFR Droop Curve

Respuesta <2s • FrequencyResponseAgent

✅ Implementado

GAP-003 · NTSyCS Cap.6.1

CEN Telemetría mTLS

HTTPS + mTLS • CENPublisher

✅ Implementado

GAP-004 · NTSyCS Cap.6.2

SCADA IEC 60870-5-104

Puerto 2404 • IEC104Driver

✅ Implementado

GAP-007 · Decreto 88/2023

PMGD Anti-arbitrage

Control PMGD • PMGDComplianceEngine

✅ Implementado

GAP-008 · Ley 21.185

ERNC Almacenamiento

Registro CER • ERNCRegistry

✅ Implementado

GAP-009 · IEC 62443 SL-2

RBAC + HMAC

PKI + HMAC • SL2SecurityGate

✅ Implementado

GAP-010 · NTCSE

THD / Flicker

Calidad P• PowerQualityMonitor

✅ Implementado

GAP-011 · NTSyCS Cap.4.4

Q/V Droop Reactivo

Droop Q/V • ReactiveController

✅ Implementado

SEC-01 · Ley 21.663/2024

CSIRT Ciberseguridad

Not. automática • SecurityNotifier

✅ Implementado

SC-01 · CEN 2024

Servicios Complementarios

PFR + AGC + Q/V • ServiciosComplementarios

✅ Implementado
Guía Piloto Production ↗ CHANGELOG v2.16.0.0 ↗

Estándares complementarios

Un stack de compliance completo

🇨🇱 NTSyCS · CEN Chile

Norma Técnica de Seguridad y Calidad de Servicio del mercado eléctrico chileno (SEN). BESSAI cumple los requerimientos de comunicación, reportería y control DER exigidos por la CNE.

IEEE 2030.5 DER Reportería CEN Control AGC

IEEE 2030.5 / SEP 2.0

10 endpoints implementados con TLS 1.2+ obligatorio y mTLS disponible. Compatible con DER Management Systems (DERMS) de distribuidoras y AGCs del sistema.

TLS 1.2+ mTLS 10 endpoints Rate limit SR 7.1

OpenSSF Best Practices

Badge Passing activo en bestpractices.dev/projects/12001. Cubre más de 60 criterios de seguridad, calidad y mantenibilidad del proyecto open-source.

Passing Badge 60+ criterios

SBOM + Supply Chain

SBOM CycloneDX generado en cada release. SLSA Level 2 build attestation. Imágenes Docker firmadas con cosign. Provenance verification disponible.

✓CycloneDX SBOM cada release ✓SLSA Level 2 provenance ✓cosign image signing ✓SPDX headers en 100% de fuentes

AI-IDS · Detección de anomalías

Seguridad activa con inteligencia artificial

BESSAI incluye un sistema de detección de anomalías basado en IsolationForest + z-score que monitorea el comportamiento del sistema en tiempo real.

!
Detección en tiempo real
IsolationForest entrena con el historial del sistema. z-score detecta desvíos estadísticos ≥ 3σ en telemetría clave (SOC, potencia, temperatura, latencia).
âš¡
Alerta en Prometheus + Grafana
Alerta automática en el canal #alerts del sistema. Dashboard Grafana con panel dedicado a anomalías detectadas.
🛡️
Bloqueo automático de setpoints
Si el AI-IDS detecta un patrón anómalo en la secuencia de setpoints, los bloquea antes de escribirlos al hardware. Failsafe garantizado.

AI-IDS STATUS · tiempo real

Algoritmo IsolationForest + z-score
Retrain Cada 24h en ventana de bajo tráfico
Latencia detección P99 < 8ms
False positive rate < 0.3% (prod real)
Setpoints bloqueados 0 en prod (48 días)

Load Testing & Prometehus Alerts

SLAs garantizados Tier-1 (< 100ms)

La latencia es dinero en operaciones VPP. Por ello, el pipeline de CI/CD incluye pruebas automatizadas de carga cruzando parámetros en cada despliegue.

  • P99 Fleet Latency
    Mide /fleet_summary bajo 1k req/s
    < 100 ms
  • Fallback Táctico / HPA
    Pods de métricas escalables de [2 - 10] max
    ACTIVO
  • AlertManager via PromQL
    Alertas in-vivo sobre viabilidad de carbón y latencia
    HighFleetLatency

SLA REPORTING EN CI/CD

En cada Pull Request, el script analyze_locust.py intercepta y penaliza un Build devolviendo (Exit Code 1) si y solo si la latencia generó retardos no esperados sobre la estructura de control distribuida. Las plantas se mantendrán recibiendo telemetría instantánea y segura.

Ver Logs De Locust →

PSIRT · Responsible Disclosure

Reporta vulnerabilidades con confianza

BESSAI tiene un proceso formal de Product Security Incident Response Team (PSIRT). Toda vulnerabilidad reportada recibe respuesta en 48h hábiles y fix en máximo 90 días.

1
Reporte privado
Envía el reporte vía GitHub Security Advisory (privado) o al email security@bess-solutions.cl. NO abrir un Issue público.
2
Acknowledge en 48h hábiles
Confirmamos recepción y abrimos coordinación privada contigo para entender el alcance.
3
Fix y CVE en máximo 90 días
Publicamos el fix, el CVE y te creditamos en el Security Advisory (si lo autorizas). Hall of Fame opcional en SECURITY.md.

SCOPE EN ALCANCE

✓Vulnerabilidades en código Python de BESSAI ✓Dependencias de producción ✓Image Docker oficial (ghcr.io) ✓API REST endpoints ✓Flujo de autenticación y autorización

FUERA DE ALCANCE

✗GitHub Actions infrastructure ✗Hardware físico de terceros ✗Ataques de denegación de servicio

VERIFICACIÓN DE IMAGEN DOCKER

cosign verify \
  ghcr.io/bess-solutions/open-bess-edge:latest \
  --certificate-identity-regexp \
  "github.com/bess-solutions" \
  --certificate-oidc-issuer \
  "https://token.actions.githubusercontent.com"

¿Necesitas documentación adicional?

Para licitaciones, auditorías formales o integraciones reguladas, el equipo puede generar documentación complementaria al mapeo IEC 62443.

Contactar vía Discord → IEC 62443 Mapping completo ↗ OpenSSF Badge ↗