Detalles de Configuración de Dispositivos de Cumplimiento (ControlCase)

Última validación: 2026-03-25 — Verificado por SSH (Collector) y RDP (VAPT/CDD)

A continuación se presentan los detalles de provisión de las VMs solicitadas por ControlCase para la auditoría PCI DSS.

1. Detalles de Máquinas Virtuales (VMs)

VM NAME	CPU	Memory	Disco Sistema	Volumen Datos	OS	IP Pública (Static)	Acceso
COLLECTOR	4 vCPU	8 GB	160 GB	200 GB (/mnt/)	Ubuntu 24.04.3 LTS	165.245.153.140	SSH (22)
VAPT	4 vCPU	8 GB	200 GB	—	Windows Server 2022	129.212.198.250	RDP (3389)
CDD	4 vCPU	8 GB	200 GB	—	Windows Server 2022	129.212.199.48	RDP (3389)

2. Estado Actual de las VMs (Validado 2026-03-25)

COLLECTOR VM — Estado del Sistema

Parámetro	Valor
Hostname	fintrix-production-collector
Droplet ID	549434707
Kernel	6.8.0-71-generic
Uptime	25 días (desde 2026-02-27)
IP Pública	134.209.213.133 → Reserved IP 165.245.153.140
IP Privada (VPC)	10.100.0.10 (eth1)
RAM	7.8 GiB total, ~521 MiB usada
Disco raíz	154G total, 4.9G usados (4%)
Volumen datos	199G total, 24K usados (/mnt/fintrix_production_collector_data)
AppArmor	Activo — 119 perfiles cargados, 24 en enforce
Auto-updates	unattended-upgrades activo
Timezone	UTC

Servicios en escucha

Puerto	Servicio	Interfaz
22/TCP	SSH (sshd)	0.0.0.0 (todas)
53/TCP	DNS resolver (systemd-resolved)	127.0.0.53 (local)

Hardening — Estado y Pendientes

Control	Estado	Detalle	PCI DSS Req
AppArmor	✅ Activo	24 perfiles enforce	6.2
Auto-updates	✅ Activo	unattended-upgrades	6.3.3
Syncookies	✅ Activo	tcp_syncookies = 1	1.3
IP Forward	✅ Deshabilitado	ip_forward = 0	1.3
Source Route	✅ Rechazado	accept_source_route = 0	1.3
fail2ban	⚠️ No instalado	Necesario para protección SSH	8.3
auditd	⚠️ No instalado	Necesario para logs de auditoría	10.2
ICMP Redirects	⚠️ Acepta	accept_redirects = 1 → cambiar a 0	1.3
Password aging	⚠️ 99999 días	PASS_MAX_DAYS → cambiar a 90	8.3.9
iptables local	⚠️ Sin reglas	Reglas ACCEPT por defecto	1.2
SSH keys	⚠️ Sin authorized_keys	Solo acceso por password	8.3.6
NTP sync	⚠️ No sincronizado	System clock synchronized: no	10.4

VAPT VM — Windows Server 2022

Parámetro	Valor
IP Pública	129.212.198.250
OS	Windows Server 2022
Acceso	RDP (puerto 3389)
Rol	Escaneo de vulnerabilidades (Vulnerability Assessment & Penetration Testing)

CDD VM — Windows Server 2022

Parámetro	Valor
IP Pública	129.212.199.48
OS	Windows Server 2022
Acceso	RDP (puerto 3389)
Rol	Descubrimiento de datos de tarjetas (Cardholder Data Discovery)

3. Conectividad y Acceso (Cloud Firewall)

Se confirman las siguientes aperturas de Firewall a nivel de Infraestructura (DigitalOcean Cloud Firewall):

COLLECTOR VM (165.245.153.140)

• Inbound:
  • SSH (TCP 22) desde 0.0.0.0/0 — Acceso administrativo
  • Syslog (TCP/UDP 514, 1514) desde VPC 10.100.0.0/16 — Recolección de logs
  • Agentes ControlCase (TCP 5508, 6608, 8037, 2024, 2028, 2030) desde VPC — Comunicación con agentes
• Outbound:
  • HTTPS (443) a endpoints Rapid7 y ControlCase (data.insight.rapid7.com, s3.amazonaws.com, con.controlcase.com, etc.)

VAPT VM (129.212.198.250)

• Inbound:
  • RDP (TCP 3389) — Acceso administrativo
• Outbound:
  • HTTPS (443) a ControlCase y Rapid7
  • Escaneo completo (TCP/UDP 1-65535, ICMP) hacia CDE y App Subnets

CDD VM (129.212.199.48)

• Inbound:
  • RDP (TCP 3389) — Acceso administrativo
• Outbound:
  • HTTPS (443) a APIs de ControlCase
  • Discovery completo hacia red interna para descubrimiento de datos

4. Notas Adicionales

• Las 3 IPs son estáticas (DigitalOcean Reserved IPs).
• La conectividad a Internet es directa (Default Gateway), no se usa Proxy.
• Se ha verificado la conectividad desde estas IPs hacia los activos del CDE.
• VAPT y CDD fueron migrados a Windows Server 2022 según requerimiento del auditor ControlCase.
• Todas las VMs están en la VPC 10.100.0.0/16 (región NYC1).
• Infraestructura gestionada por Terraform (backend/infra/terraform/digitalocean/modules/compliance/).