Fintrixs PCI DSS

Tema

POL-001: Política de Seguridad de Información

CampoValor
IDPOL-001
Versión1.0
ClasificaciónInterno — Confidencial
Fecha de Emisión2026-03-13
Fecha de Revisión2026-03-13
Próxima Revisión2027-03-13
PropietarioCISO / Director de Seguridad de Información
Aprobado porGerencia Ejecutiva — Fintrixs SAS
Aplica aTodo el personal, contratistas, proveedores y socios comerciales

1. Propósito

Establecer el marco de gobernanza de seguridad de información de Fintrixs SAS ("Fintrixs") para proteger la confidencialidad, integridad y disponibilidad de los activos de información, incluyendo datos de tarjetahabientes (CHD) según PCI DSS v4.0.

2. Alcance

Esta política aplica a:

  • Todos los empleados, contratistas y terceros que accedan a sistemas de información de Fintrixs
  • Todos los sistemas que almacenan, procesan o transmiten datos de cuentas de pago
  • Infraestructura cloud (DigitalOcean), Kubernetes (DOKS), bases de datos, APIs y microservicios
  • Entornos de desarrollo, staging y producción
  • Dispositivos propiedad de la empresa y dispositivos personales usados para trabajo (BYOD)

3. Marco Regulatorio

Esta política se alinea con:

Estándar/RegulaciónAplicabilidad
PCI DSS v4.0Requisitos 1-12
ISO 27001:2022Controles Anexo A
NIST Cybersecurity FrameworkIdentify, Protect, Detect, Respond, Recover
Ley 1581 de 2012 (Colombia)Protección de datos personales
Circular Externa 007/2018 SFCCiberseguridad sector financiero

4. Principios de Seguridad

4.1 Defensa en Profundidad

Múltiples capas de controles de seguridad protegen los activos de información:

  • Perímetro (WAF, Firewall, Kong Gateway)
  • Red (Network Policies, VPC segmentation)
  • Aplicación (Input validation, Auth/AuthZ)
  • Datos (Cifrado at-rest y in-transit, tokenización)

4.2 Mínimo Privilegio

Cada usuario, servicio y sistema recibe únicamente los permisos necesarios para realizar su función.

4.3 Zero Trust

No se confía implícitamente en ninguna entidad, interna o externa. Toda solicitud es autenticada y autorizada.

4.4 Separación de Deberes

Las funciones críticas requieren la participación de más de una persona para completarse.

4.5 Need-to-Know

El acceso a información sensible se otorga únicamente cuando existe una necesidad comercial demostrable.

5. Estructura Organizacional de Seguridad

5.1 Roles y Responsabilidades

RolResponsabilidadPersona/Equipo
Gerencia EjecutivaAprobación de políticas, asignación de recursos, responsabilidad finalCEO / CTO
CISO / Oficial de SeguridadGestión del programa de SI, cumplimiento PCI DSS, reporte a gerenciaDesignado por Gerencia
DevOps / InfraestructuraSeguridad de infraestructura, firewalls, K8s, monitoreoEquipo DevOps
DesarrolloCodificación segura, revisión de código, pruebas de seguridadEquipo de Desarrollo
QA / TestingPruebas de seguridad, validación de controlesEquipo QA
RRHHVerificación de antecedentes, entrenamiento, onboarding/offboardingRecursos Humanos
Todo el personalCumplimiento de políticas, reporte de incidentes, awarenessTodos

5.2 Responsabilidad de Cumplimiento PCI DSS

El programa de cumplimiento PCI DSS es responsabilidad del CISO/Oficial de Seguridad, quien reporta trimestralmente a la Gerencia Ejecutiva sobre:

  • Estado de cumplimiento de cada requisito
  • Resultados de revisiones de logs diarias
  • Configuración de controles de seguridad de red
  • Aplicación de estándares a nuevos sistemas
  • Respuesta a alertas de seguridad
  • Proceso de gestión de cambios

6. Políticas Subordinadas

Esta política es soportada por las siguientes políticas específicas:

IDPolíticaReferencia PCI DSS
POL-002Controles de Seguridad de RedReq 1
POL-003Acceso Lógico y AutenticaciónReq 7, 8
POL-004Estándares de CifradoReq 3, 4
POL-005SDLC y Gestión de CambiosReq 6
POL-006Gestión de Vulnerabilidades y ParchesReq 6, 11
POL-007Respuesta a IncidentesReq 12.10
POL-008Gestión de TercerosReq 12.8
POL-009Seguridad FísicaReq 9
POL-010Logging y MonitoreoReq 10
POL-011Backup y RecuperaciónReq 12
POL-012Clasificación y Protección de DatosReq 3
POL-013Uso Aceptable de TecnologíaReq 12
POL-014Hardening de SistemasReq 2
POL-015Anti-MalwareReq 5

7. Gestión de Riesgos

7.1 Evaluación de Riesgos

  • Se realiza una evaluación formal de riesgos al menos anualmente y ante cambios significativos
  • Metodología: NIST Risk Management Framework (RMF)
  • Resultados documentados en el Registro de Riesgos
  • Revisión trimestral del Registro de Riesgos

7.2 Análisis de Riesgo Dirigido (Targeted Risk Analysis)

  • Se realiza un TRA para cada requisito de PCI DSS que permita flexibilidad en frecuencia
  • Se realiza un TRA para cada requisito cumplido con el enfoque personalizado
  • Documentado en docs/security/procedures/TRA-001-TARGETED_RISK_ANALYSIS.md

8. Conciencia y Entrenamiento de Seguridad

  • Nuevas contrataciones: Entrenamiento de seguridad en onboarding (primera semana)
  • Todo el personal: Entrenamiento anual de conciencia de seguridad
  • Desarrolladores: Entrenamiento anual de codificación segura
  • Equipo de IR: Entrenamiento anual de manejo de incidentes
  • Reconocimiento: Todo el personal firma reconocimiento anual de esta política
  • Temas cubiertos: Phishing, ingeniería social, manejo de datos sensibles, uso aceptable, reporte de incidentes

9. Gestión de Incidentes de Seguridad

  • Todo incidente de seguridad debe ser reportado inmediatamente al Oficial de Seguridad
  • Se mantiene un equipo de respuesta a incidentes disponible 24/7
  • El Plan de Respuesta a Incidentes (POL-007) detalla los procedimientos completos
  • Los incidentes que involucren datos de tarjetas requieren notificación a las marcas de tarjetas y al adquirente

10. Cumplimiento y Sanciones

10.1 Monitoreo de Cumplimiento

  • Revisiones periódicas de cumplimiento de esta política y sus subordinadas
  • Auditorías internas semestrales
  • Evaluación anual PCI DSS por QSA autorizado

10.2 Violaciones

El incumplimiento de esta política puede resultar en:

  • Acción disciplinaria hasta e incluyendo terminación
  • Revocación de acceso a sistemas
  • Acciones legales según la severidad

11. Notificación de Brecha

En caso de una brecha de seguridad que involucre datos de tarjetas de pago:

  1. Contener el incidente inmediatamente
  2. Notificar al Oficial de Seguridad y Gerencia Ejecutiva
  3. Seguir el procedimiento de Respuesta a Incidentes (POL-007)
  4. Notificar a las marcas de tarjetas y adquirente dentro de 24 horas
  5. Preservar evidencia forense
  6. Contactar investigador forense PCI certificado (PFI) si es necesario

12. Revisión y Actualización

  • Esta política se revisa al menos anualmente o ante cambios significativos
  • Los cambios significativos incluyen: fusiones, adquisiciones, cambios de infraestructura, nuevos servicios de pago, incidentes de seguridad
  • Toda revisión es aprobada por Gerencia Ejecutiva
  • La versión actualizada se comunica a todo el personal dentro de 5 días hábiles

13. Distribución

Esta política se distribuye a:

  • Todo el personal empleado (email corporativo + intranet)
  • Contratistas y consultores (previo a inicio de trabajo)
  • Proveedores de servicios relevantes (como anexo a contratos)

Historial de Revisiones

VersiónFechaAutorCambios
1.02026-03-13Oficial de SeguridadDocumento inicial

Aprobación

RolNombreFirmaFecha
Gerencia Ejecutiva__________________________________//____
CISO / Oficial de Seguridad__________________________________//____

Documentación Confidencial — Solo para uso interno y auditoría PCI DSS

© 2026 Fintrixs SAS. Todos los derechos reservados.