Tema
EVD-ANTIMALWARE — Evidencia de Antimalware y Anti-Phishing PCI DSS
Fecha: 2026-04-03 Entidad evaluada: BIO TECHNOLOGY CENTER S.A.S. (Fintrixs) QSA: ControlCase Infraestructura: DigitalOcean Kubernetes (DOKS) — Región nyc1
Este documento consolida la evidencia para las preguntas de antimalware PCI DSS: Q31, Q32, Q1028, Q1029.
1. Q31 — Solución Antimalware Desplegada
1.1 Estrategia antimalware — Infraestructura de contenedores
Fintrixs opera una infraestructura 100% basada en contenedores (Kubernetes en DigitalOcean). La estrategia antimalware se adapta a este modelo de infraestructura inmutable:
1.2 Componentes por tipo de sistema
1.2.1 Contenedores Kubernetes (CDE + App)
| Aspecto | Detalle |
|---|---|
| Tipo de protección | Escaneo de imágenes pre-despliegue + detección runtime |
| Herramienta de escaneo | Trivy (Aqua Security) |
| Versión | Última estable (actualización automática en CI/CD) |
| Modo | Activo — bloquea despliegue si se detectan vulnerabilidades críticas |
| Base de datos de vulnerabilidades | NVD + GitHub Advisory + vendor advisories |
| Frecuencia de escaneo | En cada build (push a rama) + escaneo periódico del registry |
| Detección runtime | Falco DaemonSet (en implementación — ver Q80) |
Justificación de no usar AV tradicional en contenedores:
| Factor | Análisis |
|---|---|
| Inmutabilidad | Las imágenes de contenedores son inmutables; no se modifican en runtime |
| Superficie de ataque reducida | Imágenes distroless o Alpine mínimas; sin shell ni paquetes innecesarios |
| Eficacia del AV tradicional | Los agentes AV están diseñados para sistemas operativos completos; no son efectivos en contenedores efímeros |
| Riesgo de malware tradicional | Bajo — los contenedores no ejecutan software descargado por usuarios ni abren archivos adjuntos |
| Control compensatorio | Escaneo de imágenes en CI/CD + NetworkPolicies + Falco runtime = protección equivalente o superior |
1.2.2 VMs de Compliance (Collector, VAPT, CDD)
| VM | Sistema operativo | Antimalware | Versión | Estado |
|---|---|---|---|---|
| Collector | Ubuntu 24.04 LTS | ClamAV + AppArmor (24 perfiles enforce) | Última estable | Activo |
| VAPT | Windows Server 2022 | Microsoft Defender Antivirus | Integrado en Windows | Verificar por RDP |
| CDD | Windows Server 2022 | Microsoft Defender Antivirus | Integrado en Windows | Verificar por RDP |
1.2.3 Estaciones de trabajo de desarrollo
| Plataforma | Solución antimalware | Gestión centralizada | Política |
|---|---|---|---|
| macOS | CrowdStrike Falcon / Microsoft Defender for Endpoint | Sí (consola centralizada) | Protección en tiempo real activada, escaneo completo semanal |
| Windows | Microsoft Defender for Endpoint | Sí (Microsoft 365 Defender) | Protección en tiempo real activada, escaneo completo semanal |
| Linux (dev) | ClamAV + Falco | Gestión por scripts | Escaneo programado diario |
1.3 Evaluación periódica de componentes no susceptibles a malware
| Componente | Susceptible a malware | Justificación | Frecuencia de revisión |
|---|---|---|---|
| Contenedores K8s (CDE) | No (infraestructura inmutable) | Imágenes construidas en CI/CD, sin acceso de usuario, sin escritura en filesystem | Anual (TRA — ver Q1027) |
| Contenedores K8s (App) | No (infraestructura inmutable) | Mismo razonamiento que CDE | Anual (TRA) |
| Managed PostgreSQL | No | Servicio gestionado por DigitalOcean; sin acceso al OS subyacente | Anual (referencia AOC DO) |
| DigitalOcean Load Balancer | No | Servicio gestionado; sin acceso al sistema | Anual (referencia AOC DO) |
| VMs de Compliance | Sí | Sistemas operativos completos con acceso SSH/RDP | N/A — AV obligatorio |
| Estaciones de trabajo | Sí | Usuarios interactúan con el sistema, abren archivos, navegan internet | N/A — AV obligatorio |
Evidencia requerida para auditoría:
- [ ] Captura de Trivy ejecutándose en pipeline CI/CD con resultado de escaneo
- [ ] Captura de la versión de Trivy y su base de datos de vulnerabilidades
- [ ] Captura de CrowdStrike/Defender activo en al menos 2 estaciones de trabajo
- [ ] Captura de Defender activo en VMs Windows (VAPT, CDD)
- [ ] Captura de ClamAV activo en Collector VM
- [ ] Documento de evaluación de componentes no susceptibles a malware (firmado)
2. Q32 — Consola de Gestión de Antivirus
2.1 Consola centralizada de escaneo de contenedores
| Aspecto | Detalle |
|---|---|
| Herramienta | Trivy (integrado en CI/CD) + DigitalOcean Container Registry Scanning |
| Dashboard | GitHub Actions (resultados de escaneo en cada PR/push) |
| Acceso | Equipo de desarrollo y seguridad via GitHub |
| URL | Repositorio GitHub → Tab "Actions" → Workflow "Container Scan" |
2.2 Frecuencia de actualización de firmas/base de datos
| Componente | Fuente de actualización | Frecuencia | Mecanismo |
|---|---|---|---|
| Trivy (CI/CD) | NVD + GitHub Advisory Database + vendor feeds | Continuo — se descarga la última DB en cada ejecución | trivy image --download-db-only previo a escaneo |
| CrowdStrike Falcon | CrowdStrike Intelligence Cloud | Cada 1–4 horas (automático) | Agente actualiza firmas automáticamente |
| Microsoft Defender | Microsoft Security Intelligence | Cada 1–4 horas (automático) | Windows Update + cloud-based protection |
| ClamAV (Collector VM) | ClamAV Mirror | Cada 4 horas (freshclam) | Cron job configurado |
2.3 Configuración de la consola
2.4 Controles contra desactivación no autorizada
| Sistema | Control | Evidencia |
|---|---|---|
| Trivy en CI/CD | Pipeline es obligatorio para merge; no se puede skipear | Regla de branch protection en GitHub |
| CrowdStrike | Política anti-tamper; solo admin de consola puede desactivar | Captura de política de protección contra manipulación |
| Microsoft Defender | Tamper protection activada; requiere admin global para desactivar | Captura de configuración en portal |
| ClamAV | Servicio clamd monitoreado por systemd; restart automático | systemctl status clamav-daemon |
2.5 Retención de logs de antimalware
| Fuente | Retención online | Retención archivada | Total | Req. PCI DSS |
|---|---|---|---|---|
| Trivy scan results (CI/CD) | 3 meses (GitHub Actions logs) | 9 meses (exportación a S3/Spaces) | 12 meses | 10.7 |
| CrowdStrike events | 3 meses (consola cloud) | 9 meses (exportación periódica) | 12 meses | 10.7 |
| Microsoft Defender events | 3 meses (portal Defender) | 9 meses (exportación a syslog) | 12 meses | 10.7 |
| ClamAV logs | 3 meses (Collector VM local) | 9 meses (rsyslog → archivo) | 12 meses | 10.7 |
2.6 Ejemplo de resultado de escaneo
Trivy — Escaneo de imagen card-vault-service:latest:
| Componente | Tipo | ID Vulnerabilidad | Severidad | Estado |
|---|---|---|---|---|
| node:20-alpine | OS package | CVE-2024-XXXX | Medium | Fixed in 20.12.1 |
| openssl | Library | CVE-2024-YYYY | Low | Accepted risk |
| (sin hallazgos críticos) | — | — | — | PASS |
Evidencia requerida para auditoría:
- [ ] Captura de consola de CI/CD mostrando escaneo exitoso y fallido
- [ ] Captura de frecuencia de actualización de firmas (automático)
- [ ] Captura de controles anti-tamper en cada plataforma
- [ ] Ejemplo de logs de antimalware con retención configurada
- [ ] Captura de DigitalOcean Container Registry scan results
3. Q1028 — Antimalware para Medios Removibles
3.1 Análisis de aplicabilidad
3.2 Entorno cloud (Kubernetes + VMs)
| Entorno | Medios removibles | Justificación |
|---|---|---|
| Pods Kubernetes (CDE + App) | No aplica | Los contenedores no tienen acceso a hardware físico; no hay puertos USB |
| VMs de Compliance (Collector, VAPT, CDD) | No aplica | Máquinas virtuales en DigitalOcean; sin acceso a puertos físicos del host |
| Managed PostgreSQL | No aplica | Servicio gestionado; sin acceso al sistema subyacente |
3.3 Estaciones de trabajo — Política de medios removibles
| Control | Configuración | Herramienta |
|---|---|---|
| Escaneo automático al insertar USB | Activado en tiempo real | CrowdStrike / Defender — device control |
| Bloqueo de ejecución automática | Autorun desactivado por GPO/MDM | Microsoft Intune / CrowdStrike policy |
| Logging de dispositivos USB | Registro de cada dispositivo conectado | CrowdStrike / Defender event log |
| Cifrado de dispositivos USB (si se permite) | Obligatorio BitLocker To Go | Política de dispositivos |
3.4 Política de uso de medios removibles
| Regla | Descripción |
|---|---|
| Uso en sistemas CDE | Prohibido — no hay acceso físico a la infraestructura cloud |
| Uso en estaciones de trabajo | Restringido — solo dispositivos autorizados por IT |
| Transferencia de datos sensibles via USB | Prohibido — toda transferencia de datos PCI debe ser via canales cifrados |
| Escaneo previo al uso | Obligatorio — el AV debe escanear el dispositivo antes de acceder a su contenido |
Evidencia requerida para auditoría:
- [ ] Captura de política de device control en CrowdStrike/Defender
- [ ] Captura de Autorun desactivado en estaciones de trabajo
- [ ] Declaración firmada de que la infraestructura cloud no permite medios removibles
4. Q1029 — Mecanismos Anti-Phishing
4.1 Capas de protección anti-phishing
4.2 Capa 1 — Filtrado de email
| Aspecto | Configuración |
|---|---|
| Proveedor de email | Google Workspace (fintrix.com) |
| Anti-phishing | Google Workspace Security → Phishing Protection activado |
| Anti-spam | Filtrado automático con machine learning |
| Escaneo de adjuntos | Detección de malware en adjuntos antes de entrega |
| Quarantine | Mensajes sospechosos enviados a cuarentena del admin |
| Safe browsing | Alertas de enlaces sospechosos en emails |
4.3 Capa 2 — Autenticación de dominio (SPF / DKIM / DMARC)
| Protocolo | Registro DNS | Valor | Efecto |
|---|---|---|---|
| SPF | fintrix.com TXT | v=spf1 include:_spf.google.com ~all | Solo servidores de Google pueden enviar email como @fintrix.com |
| DKIM | google._domainkey.fintrix.com TXT | Clave pública DKIM de Google Workspace | Firma criptográfica de emails salientes |
| DMARC | _dmarc.fintrix.com TXT | v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@fintrix.com; pct=100 | Emails que fallan SPF/DKIM van a cuarentena; reportes de abuso |
Verificación de configuración:
bash
# Verificar SPF
dig TXT fintrix.com +short
# Verificar DKIM
dig TXT google._domainkey.fintrix.com +short
# Verificar DMARC
dig TXT _dmarc.fintrix.com +short4.4 Capa 3 — Formación y simulaciones de phishing
| Actividad | Frecuencia | Responsable | Referencia |
|---|---|---|---|
| Formación de concienciación sobre phishing | Anual (parte de Q88) | HR + CISO | Pendiente ControlCase training |
| Simulación de phishing | Trimestral | CISO | Herramienta: KnowBe4 / GoPhish |
| Reporte de emails sospechosos | Continuo | Todo el personal | Botón "Report Phishing" en Gmail |
Contenido de la formación anti-phishing:
| Tema | Descripción |
|---|---|
| Identificación de emails de phishing | Señales de alerta: remitente sospechoso, urgencia artificial, enlaces falsos |
| Spear phishing | Ataques dirigidos a individuos específicos (CEO fraud, BEC) |
| Vishing y smishing | Phishing por teléfono y SMS |
| Ingeniería social | Técnicas de manipulación psicológica |
| Procedimiento de reporte | Cómo reportar un email sospechoso al equipo de seguridad |
| Consecuencias | Impacto de un ataque exitoso en la organización y datos PCI |
4.5 Capa 4 — Controles técnicos adicionales
| Control | Implementación | Estado |
|---|---|---|
| MFA en acceso a email | Google Workspace → 2-Step Verification obligatoria | Activo |
| MFA en acceso a sistemas CDE | WireGuard VPN + MFA | Activo |
| Safe Links | Google Workspace → URL scanning | Activo |
| Safe Attachments | Google Workspace → attachment scanning | Activo |
| Browser isolation | Chrome Enterprise → sitios de alto riesgo aislados | En evaluación |
4.6 Métricas de simulaciones de phishing
| Métrica | Objetivo | Acción si se excede |
|---|---|---|
| Tasa de click en simulación | < 15% | Formación adicional obligatoria para quienes hicieron click |
| Tasa de reporte de phishing | > 50% | Reconocimiento positivo al equipo |
| Tiempo promedio de reporte | < 30 minutos | Revisión del proceso de reporte |
| Tasa de compromiso (credenciales ingresadas) | < 5% | Formación individual + revisión de acceso |
4.7 Registro de simulaciones de phishing
| # Simulación | Fecha | Tipo | Destinatarios | Tasa de click | Tasa de reporte | Acciones |
|---|---|---|---|---|---|---|
| SIM-01 | Programado Q2 2026 | Spear phishing (CEO fraud) | Todo el personal | Pendiente | Pendiente | Pendiente |
| SIM-02 | Programado Q3 2026 | Credential harvesting | Todo el personal | Pendiente | Pendiente | Pendiente |
| SIM-03 | Programado Q4 2026 | Invoice fraud | Área financiera | Pendiente | Pendiente | Pendiente |
| SIM-04 | Programado Q1 2027 | IT impersonation | Todo el personal | Pendiente | Pendiente | Pendiente |
Evidencia requerida para auditoría:
- [ ] Captura de Google Workspace → Security → Phishing Protection configurado
- [ ] Captura de registros DNS mostrando SPF, DKIM, DMARC
- [ ] Resultados de al menos 2 simulaciones de phishing con métricas
- [ ] Material de formación anti-phishing (presentación o módulo online)
- [ ] Registros de asistencia a formación (referencia Q88)
- [ ] Captura de MFA obligatoria en Google Workspace
Historial de revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-04-03 | Equipo de Seguridad Fintrixs | Creación inicial del documento de evidencia de antimalware y anti-phishing |