Tema
Inventario de Activos PCI DSS - Fintrixs Pay
Última revisión: 2026-02-04 Próxima revisión programada: 2027-02-04
Este documento responde a la Pregunta 4 de ControlCase PCI DSS.
1. Infraestructura Cloud (Digital Ocean)
1.1 Compute
| Tipo | Nombre | Función | PCI Scope | Ubicación |
|---|---|---|---|---|
| DOKS Cluster | fintrix-production-k8s | Kubernetes managed | Sí (parcial) | nyc1 |
| Node Pool - System | system | Ingress, monitoring | No | nyc1 |
| Node Pool - CDE | cde | Servicios PCI | Sí | nyc1 |
| Node Pool - App | app | Microservicios no-PCI | No | nyc1 |
1.2 Bases de Datos
| Tipo | Nombre | Función | PCI Scope | Cifrado |
|---|---|---|---|---|
| Managed PostgreSQL | fintrix-production-pci | auth_db, vault_db | Sí | AES-256 at-rest |
| PostgreSQL (K8s) | app-postgres | payments_db, onboarding_db, merchants_db, etc. | No | TLS in-transit |
1.3 Almacenamiento
| Tipo | Nombre | Función | PCI Scope |
|---|---|---|---|
| DO Spaces | fintrix-production-documents | Documentos onboarding | No |
| DO Spaces | fintrix-production-backups | Backups encriptados | No (contención) |
1.4 Red
| Tipo | Nombre | Función | PCI Scope |
|---|---|---|---|
| VPC | fintrix-production-vpc | Red privada | Sí (contención) |
| Cloud Firewall - DMZ | dmz-fw | Control entrada internet | Sí |
| Cloud Firewall - CDE | cde-fw | Segmentación CDE | Sí |
| Cloud Firewall - App | app-fw | Segmentación App | No |
| Load Balancer | fintrix-lb | Terminación TLS | Sí |
2. Servicios de Aplicación (Microservicios)
2.1 Servicios PCI Scope (CDE)
| Servicio | Puerto | Función | Datos Sensibles |
|---|---|---|---|
| auth-service | 3700 | Autenticación JWT, MFA | Credenciales usuarios |
| tokenization-service | 3600 | Tokenización de tarjetas | PAN tokenizado |
| card-vault-service | 3510 | Almacenamiento seguro | Datos cifrados |
| kong-gateway | 8000/8443 | API Gateway, WAF | N/A (proxy) |
2.2 Servicios No-PCI (App Tier)
| Servicio | Puerto | Función |
|---|---|---|
| payments-api | 3000 | Intents de pago (sin PAN) |
| orchestration-service | 4000 | Orquestación eventos |
| onboarding-service | 3900 | Onboarding merchants |
| merchants | 3110 | Gestión de comercios |
| email-service | 4100 | Envío de emails |
| webhooks-service | 3800 | Webhooks entrantes |
| realtime-gateway | 3950 | SSE/WebSocket |
| integration-runtime | 3500 | Edge functions |
| postgraphile-gateway | 5000 | GraphQL interno |
3. Servicios de Seguridad
| Servicio | Tipo | Función | Ubicación |
|---|---|---|---|
| Kong WAF | Rate limiting, IP filtering | API protection | DOKS |
| Prometheus | Monitoring | Métricas y alertas | DOKS/monitoring |
| Grafana | Visualization | Dashboards | DOKS/monitoring |
| Alertmanager | Alerting | Notificación incidentes | DOKS/monitoring |
| Cert-Manager | TLS | Certificados auto-renovables | DOKS |
4. Controles de Acceso
| Sistema | Tipo | Función |
|---|---|---|
| JWT RS256 | Autenticación | Tokens firmados para APIs |
| MFA | Autenticación | 2FA para admin access |
| RBAC | Autorización | Roles y permisos K8s |
| NetworkPolicy | Segmentación | Aislamiento de pods |
5. Historial de Revisiones
| Fecha | Revisor | Cambios |
|---|---|---|
| 2026-02-04 | Sistema (Terraform) | Documento inicial |