Tema
Definición de Alcance PCI DSS (Scope Definition)
Este documento define explícitamente el alcance de la evaluación PCI DSS para FintrixsPayMicroservicios en la infraestructura de Digital Ocean.
1. Entorno de Datos de Tarjethabientes (CDE)
El CDE está compuesto por las personas, procesos y tecnologías que almacenan, procesan o transmiten datos de cuentas (PAN), o sistemas que pueden afectar la seguridad de los mismos.
Sistemas en el CDE (In-Scope)
| Componente | Descripción | Función | Justificación |
|---|---|---|---|
| VPC Subnet: CDE | 10.100.10.0/24 | Red privada aislada | Contiene todos los activos que tocan datos de tarjetas. |
| Node Pool: CDE | Nodos K8s (cde-pool) | Ejecución de contenedores | Nodos dedicados con Taint pci-scope=true. Procesan PAN. |
| Microservicio: Tokenization | tokenization-service | Tokenización | Recibe PAN, consulta Vault, devuelve Token. |
| Microservicio: Card Vault | card-vault-service | Cifrado/Descifrado | Único servicio con acceso a las llaves de cifrado y DB de tarjetas. |
| Microservicio: Auth | auth-service | Autenticación | Gestiona accesos críticos al CDE. |
| Base de Datos: Vault DB | Managed PostgreSQL (vault_db) | Almacenamiento | Almacena PAN cifrado (AES-256). |
| Base de Datos: Auth DB | Managed PostgreSQL (auth_db) | Almacenamiento | Almacena credenciales de usuarios con acceso al CDE. |
| Kong Gateway | Ingress Controller | Entrada de tráfico | Termina TLS y enruta tráfico hacia el CDE. |
2. Sistemas Conectados (Connected-to)
Sistemas que tienen conectividad con el CDE pero no almacenan, procesan ni transmiten PAN. Estos sistemas también están DENTRO DEL ALCANCE por conectividad, aunque se les apliquen controles reducidos si no tocan PAN.
| Componente | Conexión | Justificación |
|---|---|---|
| Load Balancer | TCP 443 -> Kong | Pasa tráfico cifrado hacia el CDE. |
| App Node Pool | TCP 3600/3700 -> CDE | Algunos microservicios necesitan validar tokens o usuarios (conectan a Auth/Tokenization). |
| Mgmt Node Pool | SSH / Monitoring | Acceso administrativo y recolección de métricas. |
3. Sistemas Fuera del Alcance (Out-of-Scope)
Componentes completamente aislados del CDE mediante controles de segmentación validados.
| Componente | Aislamiento | Verificación |
|---|---|---|
| Microservicios de Negocio | Red App (10.100.20.0/24) | Firewall bloquea tráfico App -> CDE excepto puertos específicos permitidos explícitamente. |
| Bases de Datos No-PCI | Self-hosted Postgres | No tienen ruta de red hacia el CDE. |
| Kafka (App Topic) | Namespace kafka | NetworkPolicies impiden acceso desde CDE a menos que sea necesario (logs no sensibles). |
4. Controles de Segmentación (Verification)
La segmentación se logra y verifica mediante tres capas de defensa:
Cloud Firewalls (Digital Ocean):
- Regla:
DROP ALLpor defecto. - Regla CDE: Solo acepta tráfico en puerto 443 (desde LB) y puertos de servicio específicos desde App Subnet.
- Evidencia:
backend/infra/terraform/digitalocean/modules/networking/main.tf
- Regla:
Kubernetes Network Policies:
- Política:
default-deny-allen namespacecde. - Egress restringido: Los pods del CDE no pueden iniciar conexiones hacia afuera (Internet/App) excepto respuestas necesarias.
- Evidencia:
backend/infra/kubernetes/network-policies.yaml
- Política:
Physical/Logica Separation (Node Pools):
- Los workloads CDE corren en nodos físicos distintos (
s-4vcpu-8gb) a los workloads App. - Se fuerza mediante Kubernetes Taints:
pci-scope=true:NoSchedule. - Evidencia:
kubectl get nodes -l doks.digitalocean.com/node-pool=cde
- Los workloads CDE corren en nodos físicos distintos (
Fecha de última revisión: 2026-02-04 Responsable: Equipo de Infraestructura / Terraform