Tema
Resumen de Cumplimiento PCI DSS
Fintrixs SAS — Estado de cumplimiento documental al 13 de marzo de 2026
Cobertura por Requisito PCI DSS
| Req. | Título | Documentos | Estado |
|---|---|---|---|
| 1 | Instalar y mantener controles de seguridad de red | POL-002, TMPL-001, INV-001 | ✅ Documentado |
| 2 | Aplicar configuraciones seguras a todos los componentes | POL-014, INV-002 | ✅ Documentado |
| 3 | Proteger datos almacenados de titulares de tarjetas | POL-012, POL-004 | ✅ Documentado |
| 4 | Proteger datos de tarjetas con criptografía fuerte durante la transmisión | POL-004 | ✅ Documentado |
| 5 | Proteger todos los sistemas contra malware | POL-015 | ✅ Documentado |
| 6 | Desarrollar y mantener sistemas y software seguros | POL-005, POL-006, TMPL-003 | ✅ Documentado |
| 7 | Restringir acceso a datos de tarjetas según need-to-know | POL-003, TMPL-002 | ✅ Documentado |
| 8 | Identificar usuarios y autenticar acceso a componentes del sistema | POL-003, TMPL-004 | ✅ Documentado |
| 9 | Restringir acceso físico a datos de tarjetas | POL-009 | ✅ Documentado |
| 10 | Registrar y monitorear todo acceso a componentes del sistema y datos de tarjetas | POL-010 | ✅ Documentado |
| 11 | Probar la seguridad de sistemas y redes regularmente | POL-006 | ✅ Documentado |
| 12 | Soportar seguridad de la información con políticas y programas organizacionales | POL-001, ORG-001, SAT-001, POL-008, POL-007, TRA-001 | ✅ Documentado |
Estadísticas Generales
| Métrica | Valor |
|---|---|
| Total de documentos formales | 27 |
| Políticas de seguridad | 15 |
| Procedimientos | 1 (con 6 TRAs) |
| Inventarios | 2 |
| Templates/Formularios | 4 |
| Documentos de gobernanza | 2 |
| Documentos técnicos preexistentes | 8 |
| Preguntas ControlCase cubiertas | ~94 de ~101 (93%) |
Documentos Pendientes de Acción Operacional
Los siguientes items requieren acción operacional (no generables desde documentación):
| # | Item | Tipo | Responsable |
|---|---|---|---|
| 1 | Contratación de ASV y ejecución de primer escaneo trimestral | Evidencia operacional | CISO |
| 2 | Contratación y ejecución de pentest externo + interno + segmentación | Evidencia operacional | CISO |
| 3 | Instalación de ClamAV/EDR en VMs y laptops | Implementación técnica | DevOps |
| 4 | Instalación de Falco en cluster K8s | Implementación técnica | DevOps |
| 5 | Instalación de FIM (OSSEC/Wazuh) | Implementación técnica | DevOps |
| 6 | Ejecución de capacitación de seguridad y obtención de firmas | Proceso RRHH | CISO + RRHH |
| 7 | Firma de todas las políticas por CISO y Gerencia | Aprobación | Gerencia |
| 8 | Completar INV-001 con IPs públicas reales | Inventario | DevOps |
| 9 | Configurar log aggregator (Loki/ELK) con retención 12 meses | Implementación técnica | DevOps |
| 10 | Primera revisión semestral de cuentas (TMPL-004) | Proceso | CISO |
Mapa de Preguntas ControlCase → Documentos
| Preguntas | Documento |
|---|---|
| Q1–Q6 | POL-002 · Seguridad de Red |
| Q7–Q19 | POL-012 · Clasificación de Datos |
| Q20–Q30 | POL-014 · Hardening |
| Q31–Q32 | POL-015 · Anti-Malware |
| Q33–Q34 | POL-006 · Vulnerabilidades |
| Q35–Q40, Q1034 | POL-004 · Cifrado |
| Q41–Q42 | POL-005 · SDLC |
| Q43–Q57, Q1031–Q1033 | POL-003 · Acceso Lógico |
| Q58–Q66 | POL-009 · Seguridad Física |
| Q67–Q71 | POL-010 · Logging |
| Q74–Q81 | POL-006 · Vulnerabilidades |
| Q86–Q87, Q1025 | POL-001 · Seguridad, ORG-001 |
| Q88 | SAT-001 · Capacitación |
| Q89 | POL-013 · Uso Aceptable |
| Q90–Q92 | POL-008 · Terceros |
| Q94–Q95 | POL-007 · Incidentes |
| Q1027 | TRA-001 · Análisis de Riesgo |
| Q1035 | INV-002 · Tecnología |
| Q1037 | POL-005 · SDLC |