Tema
ORG-001: Organigrama y Roles de Seguridad de la Información
| Campo | Valor |
|---|---|
| ID | ORG-001 |
| Versión | 1.0 |
| Fecha de Emisión | 2026-03-13 |
| Próxima Revisión | 2027-03-13 |
| PCI DSS | Requisitos 12.1, 12.4, 12.5 |
| Preguntas ControlCase | Q87, Q1025 |
1. Propósito
Documentar la estructura organizacional de seguridad de la información en Fintrixs, definiendo claramente roles, responsabilidades y líneas de reporte para el programa PCI DSS.
2. Organigrama de Seguridad
3. Roles y Responsabilidades PCI DSS
3.1 Gerencia Ejecutiva (CEO / Dirección)
| Responsabilidad | Descripción |
|---|---|
| Gobernanza | Responsabilidad última del programa de seguridad de la información |
| Recursos | Asignar presupuesto y recursos para el cumplimiento PCI DSS |
| Política | Aprobar la Política de Seguridad de la Información (POL-001) |
| Revisión | Revisión ejecutiva del estado de cumplimiento PCI DSS (al menos anual) |
| Cultura | Promover cultura de seguridad en toda la organización |
| Responsabilidad PCI DSS | Establecer, documentar, mantener y distribuir la política de seguridad |
3.2 CISO / Oficial de Seguridad de la Información
| Responsabilidad | Descripción |
|---|---|
| Programa PCI DSS | Dirigir y coordinar el programa de cumplimiento PCI DSS |
| Políticas | Crear, actualizar y mantener todas las políticas de seguridad |
| Análisis de riesgo | Ejecutar y supervisar análisis de riesgo dirigidos (TRA) |
| Incidentes | Liderar el equipo de respuesta a incidentes |
| Capacitación | Asegurar que todo el personal reciba formación en seguridad |
| Auditoría | Coordinar auditorías internas y externas (QSA, ASV) |
| Monitoreo | Supervisar el programa de monitoreo de seguridad |
| Terceros | Gestionar evaluación de cumplimiento de terceros proveedores |
| Reporte | Reportar estado de seguridad a Gerencia Ejecutiva |
| Acceso | Aprobar accesos al CDE |
3.3 DevOps Lead (Infraestructura y Operaciones)
| Responsabilidad | Descripción |
|---|---|
| Infraestructura | Gestionar infraestructura cloud (DigitalOcean, DOKS, VPC) |
| Hardening | Aplicar estándares de hardening a todos los sistemas |
| Parches | Gestionar el proceso de aplicación de parches |
| Firewall | Administrar Cloud Firewalls y Network Policies |
| Monitoreo | Configurar y mantener Prometheus, Grafana, AlertManager |
| Backup | Ejecutar y verificar procedimientos de backup |
| Logging | Mantener el sistema de logging centralizado |
| Disponibilidad | Asegurar la disponibilidad de los sistemas del CDE |
| Acceso infra | Gestionar accesos a infraestructura (K8s, DO, DBs) |
3.4 Dev Lead (Desarrollo Seguro)
| Responsabilidad | Descripción |
|---|---|
| SDLC seguro | Asegurar que el ciclo de desarrollo cumple con PCI DSS |
| Code review | Supervisar que todo código pase por revisión de seguridad |
| OWASP | Garantizar que el código cumple con OWASP Top 10 |
| Dependencias | Monitorear y gestionar vulnerabilidades en dependencias |
| Cifrado | Implementar correctamente los estándares de cifrado |
| Testing | Asegurar cobertura de pruebas de seguridad |
| Separación | Mantener separación entre ambientes dev/staging/prod |
3.5 QA / Testing Lead
| Responsabilidad | Descripción |
|---|---|
| Pruebas de seguridad | Ejecutar pruebas de seguridad como parte del ciclo de QA |
| Datos de prueba | Asegurar que no se usen datos reales de producción en testing |
| Validación | Validar que los controles de seguridad funcionan según lo diseñado |
| Reportes | Reportar hallazgos de seguridad al CISO |
3.6 Recursos Humanos
| Responsabilidad | Descripción |
|---|---|
| Background checks | Verificación de antecedentes antes de contratación |
| On-boarding | Asegurar que nuevos empleados reciban capacitación de seguridad |
| Off-boarding | Notificar a IT/DevOps para revocación inmediata de accesos |
| Disciplina | Aplicar sanciones según POL-001 §10 |
| Políticas | Distribuir y obtener firmas de políticas de uso aceptable |
3.7 Todo el Personal
| Responsabilidad | Descripción |
|---|---|
| Cumplimiento | Cumplir con todas las políticas de seguridad |
| Reporte | Reportar incidentes de seguridad o actividad sospechosa |
| Capacitación | Completar formación de seguridad anual |
| Contraseñas | Proteger sus credenciales según POL-003 |
| Datos | Manejar datos según su clasificación (POL-012) |
4. Comité de Seguridad de la Información
4.1 Composición
| Miembro | Rol en el Comité |
|---|---|
| CISO | Presidente del comité |
| DevOps Lead | Miembro permanente |
| Dev Lead | Miembro permanente |
| Representante de Gerencia | Miembro permanente |
| Invitados según agenda | QA, Legal, RRHH según necesidad |
4.2 Actividades del Comité
| Actividad | Frecuencia |
|---|---|
| Reunión ordinaria | Trimestral |
| Revisión de estado PCI DSS | Trimestral |
| Revisión de incidentes de seguridad | Cada reunión |
| Revisión de métricas de seguridad | Cada reunión |
| Revisión de políticas | Anual |
| Revisión de resultados de auditoría | Según disponibilidad |
5. Líneas de Reporte
| Desde | Hacia | Tipo de Reporte | Frecuencia |
|---|---|---|---|
| CISO | Gerencia Ejecutiva | Estado de cumplimiento PCI DSS | Trimestral |
| DevOps Lead | CISO | Estado de infraestructura y seguridad | Mensual |
| Dev Lead | CISO | Estado de desarrollo seguro y vulnerabilidades | Mensual |
| QA Lead | CISO | Resultados de pruebas de seguridad | Por sprint |
| CISO | Gerencia Ejecutiva | Incidentes de seguridad P1/P2 | Inmediato |
| Todo el personal | CISO | Reporte de incidente sospechoso | Inmediato |
6. Responsabilidad Ejecutiva (PCI DSS 12.4)
La Gerencia Ejecutiva de Fintrixs es responsable de:
- Establecer responsabilidad para la protección de datos de tarjetas
- Definir una carta o programa de cumplimiento PCI DSS
- Comunicar a todo el personal la importancia del cumplimiento
- Asignar al CISO como responsable del programa
- Revisar al menos anualmente el estado del programa
Historial de Revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-03-13 | CISO | Documento inicial |
Aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| CISO | _________________ | _________________ | //____ |
| Gerencia Ejecutiva | _________________ | _________________ | //____ |