Tema
INV-002: Inventario de Tecnología y Componentes de Software
| Campo | Valor |
|---|---|
| ID | INV-002 |
| Versión | 1.0 |
| Fecha de Emisión | 2026-03-13 |
| Próxima Revisión | 2027-03-13 |
| Propietario | DevOps / CISO |
| PCI DSS | Requisito 12.5.1 |
| Preguntas ControlCase | Q1035 |
1. Propósito
Mantener un inventario completo de todos los componentes de software, hardware y tecnología en uso dentro del scope PCI DSS, incluyendo su función, propietario y estado de soporte.
2. Componentes de Software – CDE
2.1 Microservicios (Aplicación)
| # | Componente | Versión | Lenguaje/Framework | Función | En Scope PCI | Puerto |
|---|---|---|---|---|---|---|
| 1 | auth-service | Current | NestJS / TypeScript | Autenticación, JWT, MFA | Sí | 3700 |
| 2 | tokenization-service | Current | NestJS / TypeScript | Tokenización de PAN (AES-256-GCM) | Sí | 3600 |
| 3 | card-vault-service | Current | NestJS / TypeScript | Almacenamiento seguro de tokens | Sí | 3510 |
| 4 | payments-api | Current | NestJS / TypeScript | Procesamiento de pagos | Sí | 3500 |
| 5 | merchant-service | Current | NestJS / TypeScript | Gestión de comercios | Conectado a CDE | 3400 |
| 6 | webhook-service | Current | NestJS / TypeScript | Notificaciones webhook | Conectado a CDE | 3900 |
| 7 | admin-audit-service | Current | NestJS / TypeScript | Auditoría administrativa | Conectado a CDE | 3800 |
| 8 | realtime-service | Current | NestJS / TypeScript | Eventos en tiempo real (SSE) | Conectado a CDE | 3950 |
2.2 Infraestructura de Software
| # | Componente | Versión | Función | En Scope PCI | Soporte Activo |
|---|---|---|---|---|---|
| 1 | Node.js | 20 LTS | Runtime de microservicios | Sí | ✅ Hasta 2026-04 |
| 2 | PostgreSQL | 15 | Base de datos relacional | Sí | ✅ Hasta 2027-11 |
| 3 | Kong OSS | Latest stable | API Gateway | Sí | ✅ |
| 4 | Kubernetes (DOKS) | DO-managed (latest) | Orquestación de contenedores | Sí | ✅ |
| 5 | Docker | Latest stable | Containerización | Sí | ✅ |
| 6 | Alpine Linux | 3.x | OS base de contenedores | Sí | ✅ |
| 7 | Prometheus | Latest stable | Monitoreo de métricas | Conectado a CDE | ✅ |
| 8 | Grafana | Latest stable | Visualización de métricas | Conectado a CDE | ✅ |
| 9 | AlertManager | Latest stable | Gestión de alertas | Conectado a CDE | ✅ |
2.3 Dependencias Principales de npm
| # | Paquete | Versión | Función | Criticidad |
|---|---|---|---|---|
| 1 | @nestjs/core | ^10.x | Framework de microservicios | Alta |
| 2 | @nestjs/jwt | ^10.x | Manejo de JWT | Crítica (CDE) |
| 3 | @nestjs/passport | ^10.x | Autenticación | Crítica (CDE) |
| 4 | pg / typeorm | Latest | Cliente PostgreSQL / ORM | Crítica (CDE) |
| 5 | argon2 | Latest | Hashing de contraseñas | Crítica (CDE) |
| 6 | otplib | Latest | Generación de TOTP (MFA) | Crítica (CDE) |
| 7 | helmet | Latest | Headers de seguridad HTTP | Alta |
| 8 | class-validator | Latest | Validación de input | Alta |
📄 Lista completa de dependencias en
package.jsonde cada microservicio. Auditoría automática connpm audit.
3. Componentes de Hardware / Infraestructura Cloud
3.1 Kubernetes Cluster (DOKS)
| Parámetro | Valor |
|---|---|
| Proveedor | DigitalOcean |
| Cluster name | (nombre del cluster) |
| Región | NYC1 |
| Versión de K8s | Gestionada por DO (auto-upgrade) |
| Node pool | Standard nodes |
| Nodes | (cantidad) |
| Responsable | DevOps |
3.2 Droplets (VMs)
| # | Nombre | Tamaño | OS | Función | Región |
|---|---|---|---|---|---|
| 1 | collector | Basic | Ubuntu 22.04 | Agente de escaneo | NYC1 |
| 2 | cdd | Basic | Windows Server 2022 | ControlCase CDD | NYC1 |
| 3 | vapt | Basic | Windows Server 2022 | ControlCase VAPT | NYC1 |
3.3 Bases de Datos Administradas
| # | Nombre | Motor | Versión | Función | Región |
|---|---|---|---|---|---|
| 1 | vault_db | PostgreSQL | 15 | Almacenamiento de tokens cifrados | NYC1 |
| 2 | auth_db | PostgreSQL | 15 | Datos de autenticación | NYC1 |
| 3 | payments_db | PostgreSQL | 15 | Transacciones de pago | NYC1 |
3.4 Redes
| # | Componente | Tipo | Segmento | CIDR |
|---|---|---|---|---|
| 1 | DMZ | VPC / Subnet | Zona desmilitarizada | 10.100.1.0/24 |
| 2 | CDE | VPC / Subnet | Entorno de datos de tarjetas | 10.100.10.0/24 |
| 3 | App | VPC / Subnet | Servicios de aplicación | 10.100.20.0/24 |
| 4 | Mgmt | VPC / Subnet | Administración y monitoreo | 10.100.30.0/24 |
4. Gestión del Inventario
4.1 Proceso de Actualización
| Evento | Acción | Responsable |
|---|---|---|
| Nuevo componente agregado | Agregar al inventario antes de producción | DevOps |
| Componente retirado | Marcar como retirado con fecha | DevOps |
| Actualización de versión | Actualizar versión en inventario | DevOps |
| Revisión periódica | Verificar precisión del inventario completo | DevOps + CISO |
4.2 Frecuencia de Revisión
| Actividad | Frecuencia |
|---|---|
| Revisión completa del inventario | Anual |
| Verificación de versiones y soporte activo | Semestral |
| Verificación de componentes sin soporte | Trimestral |
| Actualización ante cambios | En cada despliegue significativo |
4.3 Componentes Sin Soporte del Vendor
Si un componente pierde soporte del fabricante:
- Evaluar riesgo de continuar su uso
- Planificar migración a versión soportada
- Si migración no es inmediatamente posible: documentar controles compensatorios
- Timeline máximo para reemplazo: según evaluación de riesgo
Historial de Revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-03-13 | DevOps | Documento inicial |
Aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| CISO / Oficial de Seguridad | _________________ | _________________ | //____ |