Diagrama de Red PCI DSS - Fintrixs Pay

Última revisión: 2026-02-04 Próxima revisión programada: 2027-02-04

Este documento responde a las Preguntas 7 y 12 de ControlCase PCI DSS.

1. Diagrama de Arquitectura de Red

2. Detalle de VLANs/Segmentos

VLAN/Segmento	CIDR	Tipo	Función	PCI Scope
dmz	10.100.1.0/24	Pública	Load Balancer, WAF	Sí (boundary)
cde	10.100.10.0/24	Privada	Servicios PCI, DB managed	Sí
app	10.100.20.0/24	Privada	Microservicios no-PCI	No
mgmt	10.100.30.0/24	Privada	Monitoring, Admin	No

3. Reglas de Firewall por Segmento

3.1 DMZ Firewall (dmz-fw)

Dirección	Protocolo	Puerto	Origen	Destino	Acción
Ingress	TCP	443	0.0.0.0/0	DMZ	ALLOW
Ingress	TCP	80	0.0.0.0/0	DMZ	ALLOW (redirect)
Egress	TCP	8000-8443	DMZ	CDE	ALLOW
Egress	*	*	DMZ	Internet	DENY

3.2 CDE Firewall (cde-fw)

Dirección	Protocolo	Puerto	Origen	Destino	Acción
Ingress	TCP	8000	DMZ	CDE	ALLOW
Ingress	TCP	3600-3700	App, CDE	CDE	ALLOW
Egress	TCP	25060-25061	CDE	Managed PG	ALLOW
Egress	TCP	9092-9093	CDE	App (Kafka)	ALLOW
Egress	*	*	CDE	Internet	DENY

3.3 App Firewall (app-fw)

Dirección	Protocolo	Puerto	Origen	Destino	Acción
Ingress	TCP	3000-4200	CDE, DMZ, App	App	ALLOW
Egress	TCP	3600-3700	App	CDE	ALLOW
Egress	TCP	443	App	Internet	ALLOW
Egress	*	*	App	*	DENY

4. Controles de Segmentación

4.1 Cloud Firewall (Digital Ocean)

Implementados via Terraform
Reglas deny-all por defecto
Logging habilitado

4.2 Kubernetes NetworkPolicy

Default deny en namespaces CDE y App
Políticas explícitas por servicio
Aislamiento por label selector

4.3 Verificación de Segmentación

Escaneo de puertos trimestral
Pruebas de penetración anual
Validación automática en CI/CD

5. Historial de Revisiones

Fecha	Revisor	Cambios
2026-02-04	Sistema (Terraform)	Documento inicial