Tema
EVD-HR-THIRDPARTY — Evidencia de RRHH, Terceros, Vulnerabilidades y Pentesting PCI DSS
Fecha: 2026-04-03 Entidad evaluada: BIO TECHNOLOGY CENTER S.A.S. (Fintrixs) QSA: ControlCase Infraestructura: DigitalOcean Kubernetes (DOKS) — Región nyc1
Este documento consolida la evidencia para las preguntas PCI DSS: Q88, Q89, Q90, Q91, Q92, Q94, Q60, Q66, Q33, Q34, Q74, Q75, Q77, Q78.
1. Q88 — Formación de Concienciación sobre Seguridad
1.1 Estado actual
| Aspecto | Estado |
|---|---|
| Programa de formación | Pendiente — ControlCase proporcionará plataforma de training |
| Fecha estimada de inicio | Q2 2026 |
| Plataforma | ControlCase Security Awareness Training |
| Frecuencia | Anual + onboarding de nuevas contrataciones |
1.2 Contenido del programa de formación
| Módulo | Temas cubiertos | Duración estimada | Audiencia |
|---|---|---|---|
| 1. Seguridad de la información | Clasificación de datos, manejo de información sensible, política de escritorios limpios | 30 min | Todo el personal |
| 2. Phishing e ingeniería social | Identificación de phishing, vishing, smishing, pretexting, tailgating | 45 min | Todo el personal |
| 3. Uso aceptable de tecnología | Uso de dispositivos corporativos, redes WiFi, medios removibles, software autorizado | 30 min | Todo el personal |
| 4. PCI DSS para no técnicos | Qué son los datos de tarjeta, por qué protegerlos, qué no hacer nunca | 30 min | Todo el personal |
| 5. Gestión de contraseñas y MFA | Contraseñas seguras, MFA, no reutilizar credenciales, gestores de contraseñas | 20 min | Todo el personal |
| 6. Respuesta a incidentes (básico) | Cómo reportar un incidente, a quién contactar, qué no hacer | 20 min | Todo el personal |
| 7. Desarrollo seguro (OWASP) | OWASP Top 10, inyecciones, XSS, CSRF, código seguro en NestJS | 60 min | Solo desarrolladores |
1.3 Calendario de formación
1.4 Registros de asistencia requeridos
| Tipo de registro | Formato | Responsable | Retención |
|---|---|---|---|
| Certificado de completación (online) | PDF de plataforma ControlCase | HR | 3 años |
| Lista de asistencia (presencial si aplica) | Hoja firmada con nombre, fecha, firma | HR | 3 años |
| Acuse de recibo de políticas | Firma electrónica tras leer la política | HR | 3 años |
| Registro de formación de nuevas contrataciones | Fecha de inicio + fecha de completación del training | HR | 3 años |
Evidencia requerida para auditoría:
- [ ] Certificados de completación de ControlCase Training para todo el personal
- [ ] Lista de asistencia con firma (si se hizo formación presencial)
- [ ] Acuse de recibo de políticas de seguridad firmado por cada empleado
- [ ] Material de formación (presentaciones, módulos online)
- [ ] Registro de formación de nuevas contrataciones dentro de los primeros 30 días
2. Q89 — Verificación de Antecedentes
2.1 Proceso de verificación
2.2 Tipos de verificación
| Tipo | Aplica a | Proveedor | Frecuencia |
|---|---|---|---|
| Antecedentes penales | Todo el personal | Autoridad local / Policía Nacional | Pre-contratación |
| Verificación de identidad | Todo el personal | HR interno | Pre-contratación |
| Verificación de referencias laborales | Todo el personal | HR interno | Pre-contratación |
| Verificación de antecedentes financieros | Personal con acceso a CDE | Entidad financiera | Pre-contratación |
2.3 Muestra requerida
| Requisito | Detalle |
|---|---|
| Cantidad mínima | 10 empleados |
| Período cubierto | Empleados contratados durante el período de evaluación |
| Formato | Certificado de antecedentes + registro en expediente HR |
| Clasificación | Confidencial — solo acceso de HR y CISO |
Evidencia requerida para auditoría:
- [ ] Certificados de antecedentes de al menos 10 empleados (redactando datos sensibles si necesario)
- [ ] Registro en expediente HR con fecha de verificación y resultado
- [ ] Política de background checks documentada
- [ ] Evidencia del proceso para contratistas/terceros con acceso al CDE
3. Q90 — Lista de Proveedores de Servicios Terceros
3.1 Inventario de proveedores PCI
| # | Proveedor | Servicio prestado | Datos en scope que maneja | PCI DSS Compliance | AOC vigente |
|---|---|---|---|---|---|
| 1 | DigitalOcean | Infraestructura cloud (K8s, VPC, Managed DB, LB, Spaces) | Hosting de CDE y datos cifrados de tarjeta | PCI DSS Level 1 SP | Solicitar AOC 2026 |
| 2 | Pomelo | Procesamiento de tarjetas (issuer processor) | PAN, datos de transacción | PCI DSS Level 1 SP | Solicitar AOC 2026 |
| 3 | Confluent | Kafka como servicio (si aplica) / Kafka self-hosted en DO | Eventos transaccionales (sin PAN) | N/A (self-hosted) o SOC 2 | Verificar modelo |
| 4 | ControlCase | QSA — Auditoría PCI DSS, escaneos ASV, pentesting | Acceso a documentación y sistemas para evaluación | QSA acreditado por PCI SSC | Verificar acreditación |
| 5 | Google Workspace | Email corporativo, almacenamiento de documentos | Comunicaciones internas, documentos de negocio | SOC 2 Type II, ISO 27001 | Disponible públicamente |
| 6 | GitHub | Repositorio de código fuente, CI/CD | Código fuente de servicios PCI | SOC 2 Type II | Disponible públicamente |
3.2 Clasificación de impacto
Evidencia requerida para auditoría:
- [ ] Lista completa de proveedores en formato de plantilla ControlCase
- [ ] Para cada proveedor: identificación del servicio y datos en scope que maneja
- [ ] Fecha de última revisión del inventario
4. Q91 — Acuerdos y Cumplimiento de Terceros
4.1 Estado de AOC y acuerdos por proveedor
| Proveedor | Tipo de acuerdo | Estado del acuerdo | AOC/SOC requerido | Estado AOC | Fecha de vencimiento |
|---|---|---|---|---|---|
| DigitalOcean | Service Agreement + DPA | Vigente | PCI DSS AOC Level 1 | Pendiente solicitud | Solicitar 2026 |
| Pomelo | Contrato de procesamiento | Vigente | PCI DSS AOC Level 1 | Pendiente solicitud | Solicitar 2026 |
| ControlCase | Contrato de servicios QSA | Vigente | Acreditación QSA | Verificada | Verificar anual |
| Google Workspace | Terms of Service + DPA | Vigente | SOC 2 Type II | Disponible público | Anual |
| GitHub | Terms of Service + DPA | Vigente | SOC 2 Type II | Disponible público | Anual |
4.2 Requisitos cubiertos por cada proveedor
| Proveedor | Requisitos PCI DSS gestionados por el proveedor |
|---|---|
| DigitalOcean | 9.x (seguridad física), parte de 1.x (red física), parte de 2.x (hardening de hypervisors), parte de 12.x (políticas internas DO) |
| Pomelo | 3.x (almacenamiento de datos de tarjeta en su ambiente), 4.x (cifrado en tránsito hacia/desde su red) |
| ControlCase | 11.3 (escaneos de vulnerabilidades), 11.4 (pentesting) |
| Google Workspace | Email security, anti-phishing (contribuye a 12.6) |
| GitHub | Hosting de código (contribuye a 6.x) |
4.3 Proceso de recopilación de AOC
Evidencia requerida para auditoría:
- [ ] AOC o SOC 2 de cada proveedor en scope (vigente)
- [ ] Contrato de servicios vigente con cada proveedor
- [ ] Para cada proveedor: lista de requisitos PCI DSS que gestiona
- [ ] Acuerdos que cubran seguridad, disponibilidad y confidencialidad
5. Q92 — Política de Gestión de Terceros
5.1 Documento de referencia
| Campo | Valor |
|---|---|
| Política | POL-008-THIRD_PARTY_MANAGEMENT.md |
| Versión | 1.0 |
| Fecha de aprobación | 2026-03-15 |
| Próxima revisión | 2027-03-15 |
| Aprobado por | CISO |
5.2 Proceso de due diligence
5.3 Criterios de evaluación de due diligence
| Criterio | Peso | Evidencia requerida |
|---|---|---|
| Certificaciones de seguridad (PCI DSS, SOC 2, ISO 27001) | Alto | AOC, SOC report, certificado ISO |
| Historial de incidentes de seguridad | Alto | Declaración del proveedor |
| Políticas de seguridad del proveedor | Medio | Resumen de política de seguridad |
| Proceso de gestión de vulnerabilidades | Medio | Descripción del proceso |
| Cifrado de datos en tránsito y reposo | Alto | Documentación técnica |
| Controles de acceso y autenticación | Alto | Descripción de controles |
| Plan de respuesta a incidentes | Medio | Resumen del IRP |
| Continuidad del negocio | Medio | BCP/DRP summary |
5.4 Revisión anual de proveedores
| Actividad | Frecuencia | Responsable |
|---|---|---|
| Verificar vigencia de AOC/SOC | Anual | Compliance Officer |
| Revisar incidentes de seguridad del proveedor | Anual | CISO |
| Verificar cumplimiento de SLAs de seguridad | Anual | Compliance Officer |
| Actualizar evaluación de riesgo del proveedor | Anual | CISO |
| Comunicar resultados a dirección ejecutiva | Anual | CISO |
Evidencia requerida para auditoría:
- [ ] Documento POL-008 aprobado y vigente
- [ ] Registro de due diligence para al menos 2 proveedores
- [ ] Evidencia de revisión anual de proveedores
- [ ] Cuestionario de seguridad completado por al menos 1 proveedor
6. Q94 — Plan de Respuesta a Incidentes
6.1 Documento de referencia
| Campo | Valor |
|---|---|
| Documento | POL-007-INCIDENT_RESPONSE_PLAN.md |
| Versión | 1.0 |
| Fecha de aprobación | 2026-03-15 |
| Próxima revisión | 2027-03-15 |
| Aprobado por | CEO + CISO |
6.2 Estructura del plan de respuesta a incidentes
6.3 Personal 24/7 on-call
| Rol | Responsabilidad | Contacto | Backup |
|---|---|---|---|
| On-call Engineer | Primer nivel de respuesta, triage inicial | PagerDuty rotation | Segundo ingeniero en rotación |
| CISO | Decisiones de escalación, comunicación ejecutiva | Teléfono directo | CEO (si CISO no disponible) |
| Infra Lead | Contención técnica, aislamiento de red | PagerDuty | DevOps senior |
| Compliance Officer | Notificación a reguladores y marcas de tarjeta (si aplica) | Email + teléfono | CISO |
6.4 Clasificación de incidentes
| Nivel | Criterio | SLA de respuesta | Ejemplo |
|---|---|---|---|
| P1 — Critical | Compromiso confirmado de datos de tarjeta, breach activo | 15 minutos | Exfiltración de PAN, acceso no autorizado al CDE |
| P2 — High | Intento de compromiso detectado, vulnerabilidad crítica explotada | 1 hora | Alerta IDS de intrusión, ransomware en estación de trabajo |
| P3 — Medium | Anomalía de seguridad sin compromiso confirmado | 4 horas | Intentos de login fallidos masivos, escaneo de puertos |
| P4 — Low | Evento informativo de seguridad | 24 horas | Vulnerabilidad reportada sin exploit conocido |
6.5 Ejercicio tabletop anual
| Aspecto | Detalle |
|---|---|
| Frecuencia | Anual |
| Tipo | Ejercicio tabletop (simulación de escenario) |
| Participantes | CEO, CISO, Infra Lead, Dev Lead, Ops Lead, Compliance |
| Escenario de ejemplo | Compromiso del card-vault-service: atacante accede a PAN cifrados |
| Documentación | Informe post-ejercicio con hallazgos y mejoras |
| Próximo ejercicio programado | Q3 2026 |
Evidencia requerida para auditoría:
- [ ] Documento POL-007 completo y aprobado
- [ ] Lista de personal on-call con contactos
- [ ] Informe de ejercicio tabletop anual (o documentación de incidente real si ocurrió)
- [ ] Evidencia de actualización del plan tras lecciones aprendidas
7. Q60 — Registros de Visitantes
7.1 Análisis de aplicabilidad
| Aspecto | Detalle |
|---|---|
| Infraestructura de producción | 100% cloud en DigitalOcean |
| Datacenter propio | No |
| Acceso físico al CDE | No — delegado a DigitalOcean |
| Seguridad física | Cubierta por AOC de DigitalOcean |
7.2 Cobertura por AOC de DigitalOcean
DigitalOcean, como proveedor de infraestructura cloud con certificación PCI DSS Level 1, gestiona la seguridad física de sus datacenters, incluyendo:
- Control de acceso biométrico a datacenters
- Registros de visitantes en instalaciones
- Videovigilancia 24/7
- Personal de seguridad en sitio
Referencia: AOC de DigitalOcean (solicitar vigente)
7.3 Si Fintrixs opera oficina física (condicional)
En caso de contar con oficina donde se acceda a sistemas en scope:
| Campo del registro | Ejemplo |
|---|---|
| Nombre del visitante | Juan Pérez |
| Fecha y hora de entrada | 2026-04-03 10:00 |
| Fecha y hora de salida | 2026-04-03 12:30 |
| Empresa representada | ControlCase LLC |
| Personal que autoriza acceso | CISO — Gabriel Ureña |
| Propósito de la visita | Auditoría PCI DSS on-site |
| Firma del visitante | [firma] |
| Badge de visitante asignado | V-001 |
Retención: 90 días mínimo
Evidencia requerida para auditoría:
- [ ] AOC de DigitalOcean cubriendo seguridad física
- [ ] Declaración de que Fintrixs no opera instalaciones físicas propias con acceso al CDE
- [ ] Si hay oficina: registros de visitantes de los últimos 90 días
8. Q66 — Dispositivos POS/POI
8.1 Declaración de no aplicabilidad
| Aspecto | Detalle |
|---|---|
| Modelo de negocio | Procesador de pagos e-commerce (card-not-present) |
| Dispositivos POS/POI | No aplica — Fintrixs no opera, distribuye ni gestiona dispositivos POS/POI físicos |
| Tipo de transacciones | 100% e-commerce (CNP — Card Not Present) |
| Captura de datos de tarjeta | Via formulario web (tokenización inmediata vía tokenization-service) |
8.2 Justificación
Evidencia requerida para auditoría:
- [ ] Declaración firmada de que Fintrixs es un procesador e-commerce sin dispositivos POS/POI
- [ ] Descripción del modelo de negocio card-not-present
9. Q33 — Fuentes Externas de Vulnerabilidades
9.1 Suscripciones a fuentes de inteligencia de vulnerabilidades
| Fuente | URL | Tipo | Frecuencia de consulta |
|---|---|---|---|
| NVD (National Vulnerability Database) | nvd.nist.gov | Base de datos de CVEs | Diaria (alertas automáticas) |
| GitHub Security Advisories | github.com/advisories | Vulnerabilidades en dependencias | Continua (Dependabot) |
| Node.js Security WG | nodejs.org/en/security | Vulnerabilidades de runtime | Semanal |
| PostgreSQL Security | postgresql.org/support/security | Vulnerabilidades de DB | Semanal |
| DigitalOcean Security Bulletins | digitalocean.com/security | Vulnerabilidades de infraestructura | Cuando se publican |
| Kubernetes Security Advisories | kubernetes.io/docs/reference/issues-security | Vulnerabilidades de K8s | Cuando se publican |
| CrowdStrike Intelligence | falcon.crowdstrike.com | Threat intelligence | Continua |
9.2 Proceso de evaluación y clasificación de riesgos
9.3 Ejemplo de tracking de CVE
| CVE ID | Fecha detección | Componente | CVSS | Severidad | Afecta a Fintrixs | Acción | Fecha de remediación | Estado |
|---|---|---|---|---|---|---|---|---|
| CVE-2024-XXXX | 2026-03-01 | Node.js 20.x | 7.5 | High | Sí (runtime de todos los servicios) | Actualizar a Node.js 20.12.1 | 2026-03-15 | Remediado |
| CVE-2024-YYYY | 2026-03-10 | OpenSSL 3.x | 5.3 | Medium | Sí (imágenes Alpine) | Actualizar imagen base Alpine | 2026-04-01 | Remediado |
| CVE-2024-ZZZZ | 2026-03-20 | PostgreSQL 16 | 4.0 | Medium | Sí (Managed PG) | DigitalOcean aplica parche automático | 2026-03-25 | Remediado por proveedor |
Evidencia requerida para auditoría:
- [ ] Lista de fuentes de vulnerabilidades suscritas con evidencia de suscripción
- [ ] Capturas de alertas recibidas de al menos 2 fuentes diferentes
- [ ] Registro de evaluación y clasificación de al menos 3 vulnerabilidades
- [ ] Evidencia del proceso de tracking de CVEs (herramienta o hoja de cálculo)
10. Q34 — Parches de Seguridad
10.1 Documento de referencia
| Campo | Valor |
|---|---|
| Política | POL-006-VULNERABILITY_PATCH_MANAGEMENT.md |
| Versión | 1.0 |
| Fecha de aprobación | 2026-03-15 |
10.2 Proceso de gestión de parches
10.3 SLAs de parcheo por severidad
| Severidad CVSS | Plazo máximo de aplicación | Mecanismo | Aprobación |
|---|---|---|---|
| Critical (9.0–10.0) | 30 días calendario | Hotfix fuera de ciclo normal | CISO aprueba deployment de emergencia |
| High (7.0–8.9) | 90 días calendario | Release programada | Dev Lead + Infra Lead |
| Medium (4.0–6.9) | Siguiente ciclo de mantenimiento | Release programada | Dev Lead |
| Low (0.1–3.9) | Próxima revisión trimestral | Release programada | Dev Lead |
10.4 Tipos de parches y mecanismos
| Componente | Herramienta de detección | Mecanismo de parcheo | Frecuencia de revisión |
|---|---|---|---|
| Dependencias npm (backend) | npm audit + Dependabot | npm update + PR automático | Continua (Dependabot) |
| Imágenes Docker base | Trivy scan en CI/CD | Rebuild con imagen base actualizada | En cada build |
| Node.js runtime | Node.js Security WG | Actualización de imagen base node:20-alpine | Mensual o ante CVE |
| PostgreSQL (Managed) | DigitalOcean Maintenance Windows | Aplicado automáticamente por DigitalOcean | Según proveedor |
| Kubernetes (DOKS) | DigitalOcean K8s releases | Actualización del cluster DOKS | Trimestral o ante CVE |
| VMs de Compliance (Ubuntu) | unattended-upgrades | Automático para parches de seguridad | Diaria |
| VMs de Compliance (Windows) | Windows Update | Automático con reinicio programado | Mensual (Patch Tuesday) |
10.5 Ejemplo de registro de parcheo
| Fecha | Sistema | Vulnerabilidad | Parche aplicado | Verificación | Aprobado por |
|---|---|---|---|---|---|
| 2026-03-15 | Todos los servicios NestJS | CVE-2024-XXXX (Node.js) | node:20.12.1-alpine | Trivy scan limpio post-deploy | Dev Lead |
| 2026-03-25 | Managed PostgreSQL | CVE-2024-ZZZZ | Aplicado por DigitalOcean | Verificación en consola DO | Infra Lead |
| 2026-04-01 | Imágenes Docker base | CVE-2024-YYYY (OpenSSL) | alpine:3.19.1 | Trivy scan limpio | Dev Lead |
Evidencia requerida para auditoría:
- [ ] Documento POL-006 aprobado y vigente
- [ ] Registro de parches aplicados durante el período de evaluación (muestra del QSA)
- [ ] Evidencia de
npm audity/o Dependabot en acción - [ ] Evidencia de actualización de imágenes Docker con timestamps
- [ ] Captura de
unattended-upgradesactivo en VMs Ubuntu
11. Q74 — Evaluación de Vulnerabilidades Internas (IVA)
11.1 Estado actual
| Aspecto | Estado |
|---|---|
| Herramienta de escaneo | Pendiente — ControlCase configurará escáner vía Collector VM |
| Ticket ControlCase | #684980 (rellenar formulario de alcance) |
| Tipo de escaneo | Autenticado (credenciales de acceso a cada sistema) |
| Frecuencia requerida | Trimestral + tras cambios significativos |
| Informes requeridos | 4 trimestrales para el período de evaluación |
11.2 Alcance del escaneo interno
| Sistema en scope | IP / Endpoint | Credenciales | Tipo |
|---|---|---|---|
| K8s Node Pool CDE | 10.100.10.0/24 | Service account K8s | Autenticado |
| K8s Node Pool App | 10.100.20.0/24 | Service account K8s | Autenticado |
| Managed PostgreSQL PCI | Private endpoint | DB credentials (read-only) | Autenticado |
| Kong Gateway | 10.100.10.X:8443 | Admin API credentials | Autenticado |
| Collector VM | 10.100.0.10 | SSH key | Autenticado |
| VAPT VM | 129.212.198.250 | RDP credentials | Autenticado |
| CDD VM | 129.212.199.48 | RDP credentials | Autenticado |
11.3 Calendario de escaneos trimestrales
| Trimestre | Fecha programada | Estado | Informe |
|---|---|---|---|
| Q1 2026 | Pendiente setup | Pendiente | — |
| Q2 2026 | 2026-06-15 | Programado | — |
| Q3 2026 | 2026-09-15 | Programado | — |
| Q4 2026 | 2026-12-15 | Programado | — |
11.4 Proceso post-escaneo
Evidencia requerida para auditoría:
- [ ] 4 informes trimestrales de escaneo interno autenticado
- [ ] Informes de re-escaneo mostrando remediación de hallazgos críticos/altos
- [ ] Evidencia de herramienta de escaneo configurada y actualizada
- [ ] Alcance del escaneo documentado
12. Q75 — Escaneos ASV Externos
12.1 Estado actual
| Aspecto | Estado |
|---|---|
| ASV designado | ControlCase (ASV acreditado por PCI SSC) |
| Ticket ControlCase | #684979 (proporcionar alcance y cronograma) |
| IPs/dominios a escanear | IPs públicas de Load Balancer, dominio fintrix.com |
| Frecuencia requerida | Trimestral |
| Informes requeridos | 4 trimestrales para el período de evaluación |
12.2 Alcance del escaneo externo
| Activo | IP pública / Dominio | Puertos expuestos | Servicio |
|---|---|---|---|
| Load Balancer producción | IP pública DO LB | TCP 443, 80 | HTTPS, HTTP redirect |
| Dominio principal | fintrix.com / api.fintrix.com | TCP 443 | API Gateway (Kong) |
| VAPT VM (si expuesta) | 129.212.198.250 | TCP 3389 (restringido) | RDP |
12.3 Calendario de escaneos ASV
| Trimestre | Fecha programada | Estado | Resultado | Informe |
|---|---|---|---|---|
| Q1 2026 | Pendiente setup | Pendiente | — | — |
| Q2 2026 | 2026-06-01 | Programado | — | — |
| Q3 2026 | 2026-09-01 | Programado | — | — |
| Q4 2026 | 2026-12-01 | Programado | — | — |
Evidencia requerida para auditoría:
- [ ] 4 informes ASV trimestrales con resultado PASS
- [ ] Informes de re-escaneo si el escaneo inicial fue FAIL
- [ ] Confirmación de que ControlCase es ASV acreditado por PCI SSC
13. Q77 — Pentest Externo (ENPT + APT)
13.1 Estado actual
| Aspecto | Estado |
|---|---|
| Ejecutor | ControlCase |
| Ticket ENPT (red) | #684996 (facilitar alcance y calendario) |
| Ticket APT (aplicación) | #684992 (facilitar lista de aplicaciones) |
| Frecuencia | Anual + tras cambios significativos |
| Metodología | PTES / OWASP Testing Guide |
13.2 Alcance del pentest externo
13.2.1 Pentest de red externo (ENPT)
| Activo | IP / Dominio | Descripción |
|---|---|---|
| Load Balancer | IP pública | Punto de entrada desde internet |
| API Gateway (Kong) | api.fintrix.com | API pública |
| VAPT VM | 129.212.198.250 | Solo si accesible externamente |
| Dashboard (si público) | dashboard.fintrix.com | Aplicación web |
13.2.2 Pentest de aplicación (APT)
| Aplicación | URL | Tipo | Prioridad |
|---|---|---|---|
| API de pagos | api.fintrix.com/v1/payments | REST API | Alta |
| API de tokenización | api.fintrix.com/v1/tokenize | REST API | Crítica (PCI scope) |
| Dashboard merchant | dashboard.fintrix.com | Web app (Vue 3) | Alta |
| GraphQL Gateway | api.fintrix.com/graphql | GraphQL | Media |
13.3 Calendario
| Prueba | Fecha programada | Estado | Informe |
|---|---|---|---|
| ENPT | Pendiente coordinación con ControlCase | Pendiente | — |
| APT | Pendiente coordinación con ControlCase | Pendiente | — |
Evidencia requerida para auditoría:
- [ ] Informe de ENPT con hallazgos, severidad y recomendaciones
- [ ] Informe de APT con hallazgos OWASP y recomendaciones
- [ ] Evidencia de remediación de hallazgos críticos y altos
- [ ] Alcance documentado cubriendo red y capa de aplicación
14. Q78 — Pentest Interno (INPT)
14.1 Estado actual
| Aspecto | Estado |
|---|---|
| Ejecutor | ControlCase |
| Ticket INPT | #684995 (necesitan escáner para INPT) |
| Frecuencia | Anual + tras cambios significativos |
| Punto de ejecución | Desde Collector VM o VAPT VM (dentro de la VPC) |
14.2 Alcance del pentest interno
| Segmento | CIDR | Sistemas objetivo | Prioridad |
|---|---|---|---|
| CDE Subnet | 10.100.10.0/24 | Kong, auth-service, tokenization-service, card-vault-service | Crítica |
| App Subnet | 10.100.20.0/24 | payments-api, merchants, webhooks, Kafka | Alta |
| Mgmt Subnet | 10.100.30.0/24 | Prometheus, Grafana | Media |
| Database | Managed PostgreSQL endpoints | vault_db, auth_db, payments_db | Crítica |
14.3 Objetivos del pentest interno
| Objetivo | Descripción |
|---|---|
| Movimiento lateral | Verificar que un atacante en la subnet App no pueda alcanzar el CDE |
| Escalada de privilegios | Verificar que no sea posible escalar desde pod no-privilegiado a acceso al CDE |
| Segmentación de red | Validar que las NetworkPolicies y Cloud Firewalls aíslan efectivamente el CDE |
| Acceso a datos | Verificar que no se pueda acceder a PAN sin autenticación y autorización válida |
| Bypass de RLS | Verificar que las políticas de Row-Level Security no se pueden evadir |
14.4 Calendario
| Prueba | Fecha programada | Estado | Informe |
|---|---|---|---|
| INPT | Pendiente coordinación con ControlCase | Pendiente | — |
Evidencia requerida para auditoría:
- [ ] Informe de INPT con hallazgos, severidad y recomendaciones
- [ ] Evidencia de remediación de hallazgos críticos y altos
- [ ] Validación de segmentación de red como parte del pentest
- [ ] Alcance documentado cubriendo red interna y capa de aplicación
Resumen de estados por pregunta
| Pregunta | Tema | Estado | Dependencia |
|---|---|---|---|
| Q88 | Formación de seguridad | Pendiente ControlCase training | ControlCase |
| Q89 | Background checks | Pendiente recopilación de registros | HR |
| Q90 | Lista de terceros | En progreso | Compliance |
| Q91 | AOC de terceros | Pendiente solicitud de AOC | Proveedores |
| Q92 | Política de terceros | POL-008 creada | — |
| Q94 | Plan de respuesta a incidentes | POL-007 creada | — |
| Q60 | Registros de visitantes | N/A (cloud) — requiere AOC DO | DigitalOcean |
| Q66 | Dispositivos POS/POI | N/A (e-commerce) | — |
| Q33 | Fuentes de vulnerabilidades | En progreso | Infra + Dev |
| Q34 | Parches de seguridad | POL-006 creada, proceso activo | — |
| Q74 | IVA (escaneo interno) | Pendiente setup escáner | ControlCase (#684980) |
| Q75 | ASV (escaneo externo) | Pendiente setup | ControlCase (#684979) |
| Q77 | Pentest externo | Pendiente ejecución | ControlCase (#684996, #684992) |
| Q78 | Pentest interno | Pendiente ejecución | ControlCase (#684995) |
Historial de revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-04-03 | Equipo de Seguridad Fintrixs | Creación inicial del documento de evidencia de RRHH, terceros, vulnerabilidades y pentesting |