Tema
EVD-NETWORK-FIREWALL — Evidencia de Seguridad de Red y Firewalls PCI DSS
Fecha: 2026-04-03 Entidad evaluada: BIO TECHNOLOGY CENTER S.A.S. (Fintrixs) QSA: ControlCase Infraestructura: DigitalOcean Kubernetes (DOKS) — Región nyc1
Este documento consolida la evidencia para las preguntas de seguridad de red PCI DSS: Q11, Q12, Q72, Q80.
1. Q11 — Revisión de Reglas de Firewall
1.1 Documento de referencia
| Campo | Valor |
|---|---|
| Documento de reglas vigente | docs/pci-dss/firewall_rules.md |
| Última actualización | 2026-03-13 |
| Total de firewalls en producción | 8 |
| Capas de seguridad de red | 5 (Cloud FW, DB FW, K8s NetworkPolicies, Node Pool Isolation, Compliance VM FW) |
1.2 Informes de revisión semestral
Se requieren dos informes de revisión de las reglas de firewall durante el período de evaluación:
| # Informe | Período cubierto | Fecha programada | Estado | Firmado por |
|---|---|---|---|---|
| FWR-01 | H1 2026 (enero–junio) | 2026-04-15 | Programado | CISO + Infra Lead |
| FWR-02 | H2 2026 (julio–diciembre) | 2026-10-15 | Programado | CISO + Infra Lead |
1.3 Alcance de cada revisión
Cada informe de revisión debe cubrir las siguientes tecnologías de control de seguridad de red (NSC):
1.4 Contenido mínimo de cada informe de revisión
| Sección | Contenido | Evidencia |
|---|---|---|
| 1. Inventario de NSC | Lista de todos los firewalls/políticas activos con identificador | Exportación de DigitalOcean API + kubectl get networkpolicies -A |
| 2. Revisión regla por regla | Para cada regla: justificación de negocio, validez, necesidad | Tabla con cada regla evaluada |
| 3. Reglas obsoletas identificadas | Reglas sin justificación vigente → marcar para eliminación | Lista de reglas a remover |
| 4. Reglas faltantes identificadas | Brechas detectadas → reglas a agregar | Lista de reglas nuevas requeridas |
| 5. Validación de deny-all default | Confirmar política default deny en todas las capas | Captura de configuración |
| 6. Cambios desde última revisión | Diff de reglas entre la revisión anterior y la actual | Terraform diff o changelog |
| 7. Hallazgos y acciones correctivas | Resumen de hallazgos con plan de acción | Tickets de remediación |
| 8. Aprobación | Firma del CISO y del Infra Lead | Acta firmada |
1.5 Credenciales y experiencia del equipo revisor
| Revisor | Rol | Credenciales / Experiencia | Justificación |
|---|---|---|---|
| CISO / Security Lead | Aprobador de la revisión | Experiencia en seguridad de la información, conocimiento de PCI DSS | Responsable global del programa de seguridad |
| Líder de Infraestructura | Revisor técnico principal | Experiencia en DigitalOcean, Kubernetes, Terraform, redes cloud | Responsable directo de la configuración de firewalls |
| Oficial de Cumplimiento | Revisor de compliance | Conocimiento de requisitos PCI DSS v4.0, Req. 1.x | Valida alineación con requisitos normativos |
Evidencia requerida para auditoría:
- [ ] Dos informes de revisión completos (FWR-01, FWR-02) con firma de los revisores
- [ ] Evidencia de credenciales/experiencia del equipo revisor (CVs o certificaciones)
- [ ] Capturas de las reglas de firewall vigentes al momento de cada revisión
- [ ] Registro de cambios realizados como resultado de cada revisión
1.6 Proceso de revisión
2. Q12 — VLANs/Interfaces y Reglas de Acceso
2.1 Arquitectura de red — DigitalOcean VPC
2.2 Configuración de VPC — DigitalOcean
| Parámetro | Valor |
|---|---|
| VPC Name | fintrix-production-vpc |
| CIDR Range | 10.100.0.0/16 |
| Región | nyc1 |
| Default Gateway | Managed by DigitalOcean |
| DNS | DigitalOcean internal DNS |
| Terraform source | digitalocean/modules/networking/main.tf |
2.3 Subnets / Segmentos y sus reglas de acceso
2.3.1 DMZ Subnet — 10.100.1.0/24
Cloud Firewall: fintrix-production-dmz-fw
Ingress (entrada):
| # | Protocolo | Puerto | Origen | Descripción | Justificación |
|---|---|---|---|---|---|
| 1 | TCP | 443 | 0.0.0.0/0, ::/0 | HTTPS desde internet | Tráfico de clientes y merchants |
| 2 | TCP | 80 | 0.0.0.0/0, ::/0 | Health checks LB | Redirige a 443 |
Egress (salida):
| # | Protocolo | Puerto | Destino | Descripción | Justificación |
|---|---|---|---|---|---|
| 1 | TCP | 1–65535 | cde_cidr, app_cidr | Zonas internas | Proxy a servicios backend |
| 2 | UDP | 53 | 0.0.0.0/0 | DNS | Resolución de nombres |
| Default | ALL | ALL | ALL | DENY | Deny-all por defecto |
2.3.2 CDE Subnet — 10.100.10.0/24 (PCI Scope)
Cloud Firewall: fintrix-production-cde-fw | Tags: fintrix-cde
Ingress (entrada):
| # | Protocolo | Puerto | Origen | Descripción | Justificación |
|---|---|---|---|---|---|
| 1 | TCP | 8000 | DMZ (10.100.1.0/24) | Kong proxy | Tráfico desde LB |
| 2 | TCP | 3600, 3700 | App + CDE subnets | Auth + Tokenization | Validación de tokens y usuarios |
| Default | ALL | ALL | ALL | DENY | Deny-all por defecto |
Egress (salida):
| # | Protocolo | Puerto | Destino | Descripción | Justificación |
|---|---|---|---|---|---|
| 1 | TCP | 25060–25061 | Managed PostgreSQL | Base de datos PCI | Acceso a vault_db, auth_db |
| 2 | TCP | 9093 | App subnet (Kafka) | Eventos Kafka TLS | Publicación de eventos |
| 3 | UDP | 53 | DigitalOcean DNS | DNS | Resolución de nombres |
| Default | ALL | ALL | ALL | DENY | Deny-all por defecto |
2.3.3 App Subnet — 10.100.20.0/24
Cloud Firewall: fintrix-production-app-fw | Tags: fintrix-app
Ingress (entrada):
| # | Protocolo | Puerto | Origen | Descripción | Justificación |
|---|---|---|---|---|---|
| 1 | TCP | 3000–4100 | DMZ (Kong) | Microservicios app | Tráfico de API Gateway |
| 2 | TCP | 9093 | CDE subnet | Kafka desde CDE | Eventos PCI |
| Default | ALL | ALL | ALL | DENY | Deny-all por defecto |
Egress (salida):
| # | Protocolo | Puerto | Destino | Descripción | Justificación |
|---|---|---|---|---|---|
| 1 | TCP | 5432 | App PostgreSQL | Base de datos app | payments_db, merchants_db, etc. |
| 2 | TCP | 9093 | Kafka interno | Eventos Kafka | Publicación y consumo |
| 3 | TCP | 443 | 0.0.0.0/0 | HTTPS saliente | Webhooks a merchants, APIs externas |
| 4 | UDP | 53 | DigitalOcean DNS | DNS | Resolución de nombres |
| Default | ALL | ALL | ALL | DENY | Deny-all por defecto |
2.3.4 Mgmt Subnet — 10.100.30.0/24
Cloud Firewall: fintrix-production-mgmt-fw
Ingress (entrada):
| # | Protocolo | Puerto | Origen | Descripción | Justificación |
|---|---|---|---|---|---|
| 1 | UDP | 51820 | IPs autorizadas de admin | WireGuard VPN | Acceso administrativo |
| 2 | TCP | 9090 | CDE + App subnets | Prometheus scrape | Recolección de métricas |
| Default | ALL | ALL | ALL | DENY | Deny-all por defecto |
2.4 Kubernetes NetworkPolicies — Aislamiento del CDE
Política base — default-deny-all en namespace cde:
yaml
# Evidencia: backend/infra/kubernetes/network-policies.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
namespace: cde
spec:
podSelector: {}
policyTypes:
- Ingress
- EgressEvidencia requerida para auditoría:
- [ ] Exportación completa de Cloud Firewalls vía DigitalOcean API (
doctl compute firewall list --format json) - [ ] Exportación de NetworkPolicies (
kubectl get networkpolicies -A -o yaml) - [ ] Captura de la configuración de Database Firewall (trusted sources en Managed PostgreSQL)
- [ ] Evidencia de node pool isolation (
kubectl get nodes -l doks.digitalocean.com/node-pool=cde) - [ ] Validación de deny-all default en cada capa
2.5 Validación de política default deny-all
| Capa | Tecnología | Default deny-all | Evidencia |
|---|---|---|---|
| Cloud Firewall — DMZ | DigitalOcean | Sí (implícito en DO) | doctl compute firewall get <id> |
| Cloud Firewall — CDE | DigitalOcean | Sí (implícito en DO) | doctl compute firewall get <id> |
| Cloud Firewall — App | DigitalOcean | Sí (implícito en DO) | doctl compute firewall get <id> |
| Cloud Firewall — Mgmt | DigitalOcean | Sí (implícito en DO) | doctl compute firewall get <id> |
| K8s NetworkPolicy — cde | Kubernetes | Sí (explícito) | network-policies.yaml |
| K8s NetworkPolicy — app | Kubernetes | Sí (explícito) | network-policies.yaml |
| K8s NetworkPolicy — kafka | Kubernetes | Sí (explícito) | network-policies.yaml |
| Database Firewall | DO Managed PG | Sí (solo trusted sources) | Consola DO → Database → Trusted Sources |
3. Q72 — Puntos de Acceso Inalámbricos
3.1 Declaración de infraestructura cloud
| Aspecto | Detalle |
|---|---|
| Tipo de infraestructura | 100% cloud (DigitalOcean) |
| Infraestructura física propia | No — Fintrixs no opera datacenters ni salas de servidores propias |
| Responsabilidad de seguridad física | Delegada a DigitalOcean (modelo de responsabilidad compartida) |
| AOC de DigitalOcean | Requerido para evidencia de seguridad física (incluye wireless) |
3.2 Análisis de aplicabilidad
3.3 Infraestructura cloud — Cobertura por AOC
| Control PCI DSS | Cómo se cubre | Evidencia |
|---|---|---|
| Detección de APs no autorizados | DigitalOcean gestiona seguridad física de datacenters | AOC de DigitalOcean |
| Inventario de APs autorizados | N/A — sin APs propios en infraestructura de producción | Declaración de arquitectura cloud |
| Escaneo trimestral de wireless | N/A — delegado a DigitalOcean | AOC de DigitalOcean |
3.4 Si Fintrixs opera oficina física (condicional)
En caso de que Fintrixs cuente con una oficina física donde se acceda a sistemas en scope PCI DSS:
| Control | Metodología | Frecuencia | Herramienta |
|---|---|---|---|
| Escaneo de APs no autorizados | Analizador inalámbrico barriendo canales 2.4GHz/5GHz | Trimestral | WiFi Analyzer / Kismet |
| Inventario de APs autorizados | Lista de APs corporativos con SSID, MAC, ubicación | Actualización continua | Hoja de cálculo + CMDB |
| Justificación de negocio por AP | Cada AP debe tener justificación documentada | Anual | Revisión por CISO |
| Seguridad de APs autorizados | WPA3-Enterprise, 802.1X, VLAN separada | Configuración inicial + revisión trimestral | Controlador WiFi |
Estado actual:
- [ ] Confirmar si Fintrixs opera oficina física con acceso a sistemas en scope
- [ ] Si aplica: ejecutar primer escaneo trimestral de wireless
- [ ] Solicitar AOC vigente de DigitalOcean
Evidencia requerida para auditoría:
- [ ] AOC de DigitalOcean confirmando cobertura de seguridad física (incluye wireless)
- [ ] Declaración firmada de que Fintrixs no opera infraestructura física propia
- [ ] Si hay oficina: 4 reportes trimestrales de escaneo de wireless + inventario de APs
4. Q80 — IDS/IPS (Intrusion Detection/Prevention System)
4.1 Estado actual
| Aspecto | Estado |
|---|---|
| IDS/IPS dedicado | Implementación en progreso |
| Solución recomendada | Falco (K8s runtime security) |
| Protección básica existente | DigitalOcean Cloud Firewall (filtrado de paquetes) |
| Fecha objetivo de implementación | 2026-Q2 |
4.2 Arquitectura propuesta — Falco para K8s
4.3 Plan de implementación
| Fase | Actividad | Fecha | Estado |
|---|---|---|---|
| 1 | Evaluación de Falco como solución IDS para K8s | 2026-04-01 | Completado |
| 2 | Instalación de Falco DaemonSet en cluster DOKS | 2026-04-15 | Pendiente |
| 3 | Configuración de reglas base PCI DSS | 2026-04-30 | Pendiente |
| 4 | Configuración de Falcosidekick (alertas) | 2026-05-15 | Pendiente |
| 5 | Período de tuning (reducción de falsos positivos) | 2026-05-15 – 2026-06-15 | Pendiente |
| 6 | Paso a producción con alertas activas | 2026-06-15 | Pendiente |
4.4 Reglas Falco planificadas — Alineadas a PCI DSS
| Categoría | Regla | Severidad | Req. PCI DSS |
|---|---|---|---|
| Shell en contenedor | Detección de shell interactivo en pods CDE | Critical | 6.2, 10.2 |
| Lectura de archivos sensibles | Acceso a /etc/shadow, claves privadas | Critical | 8.3 |
| Escritura en binarios del sistema | Modificación de binarios del OS | Critical | 5.2, 11.5 |
| Conexión saliente inesperada | Pod CDE conecta a IP no autorizada | High | 1.3 |
| Cambio de namespace | Pod intenta comunicarse con namespace no autorizado | High | 1.2 |
| Ejecución de herramientas de red | nmap, netcat, curl desde pod CDE | High | 11.4 |
| Montaje de volumen sensible | Pod monta hostPath o volumen no autorizado | High | 2.2 |
| Escalada de privilegios | Container ejecuta como root o usa privileged | Critical | 2.2 |
| Canal encubierto de malware (SP) | Detección de tunneling DNS, ICMP, HTTP covert channels | Critical | 11.4 (SP) |
| Exfiltración de datos | Volumen inusual de datos salientes desde CDE | High | 3.4 |
4.5 Capacidades IDS existentes — DigitalOcean Cloud Firewall
Mientras Falco se implementa, las siguientes capacidades de detección/prevención están activas:
| Capacidad | Tecnología | Cobertura |
|---|---|---|
| Filtrado de paquetes stateful | DO Cloud Firewall | Todas las subnets |
| Rate limiting | DO Load Balancer | DMZ (ingress) |
| Protección DDoS básica | DigitalOcean infraestructura | Todas las IPs públicas |
| Detección de port scanning | fail2ban en Collector VM | VMs de compliance |
| Bloqueo de IPs maliciosas | fail2ban + iptables | VMs de compliance |
4.6 Proceso de respuesta a alertas IDS/IPS
Evidencia requerida para auditoría:
- [ ] Captura de Falco DaemonSet activo en todos los nodos (
kubectl get ds -n falco) - [ ] Lista de reglas configuradas con severidad
- [ ] Configuración de alertas (Slack, PagerDuty, Syslog)
- [ ] Ejemplos de alertas generadas y su seguimiento
- [ ] Versión de Falco y versión de reglas/firmas
- [ ] Para proveedor de servicios: evidencia de detección de canales encubiertos de malware
Historial de revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-04-03 | Equipo de Seguridad Fintrixs | Creación inicial del documento de evidencia de red y firewalls |