Tema
POL-002: Política de Controles de Seguridad de Red
| Campo | Valor |
|---|---|
| ID | POL-002 |
| Versión | 1.0 |
| Clasificación | Interno — Confidencial |
| Fecha de Emisión | 2026-03-13 |
| Próxima Revisión | 2027-03-13 |
| Propietario | CISO / Equipo DevOps |
| Aprobado por | Gerencia Ejecutiva — Fintrixs SAS |
| PCI DSS | Requisito 1 |
| Preguntas ControlCase | Q6, Q10, Q11, Q12, Q13, Q15, Q16, Q17, Q18 |
1. Propósito
Definir estándares y procedimientos para la instalación, configuración, mantenimiento y revisión de todos los controles de seguridad de red (firewalls, network policies, gateways) que protegen el Entorno de Datos del Tarjetahabiente (CDE).
2. Alcance
- DigitalOcean Cloud Firewalls (dmz-fw, cde-fw, app-fw, mgmt-fw)
- Kubernetes NetworkPolicies (namespace cde, app, monitoring, kafka)
- Kong API Gateway (rate limiting, IP restriction, TLS)
- Load Balancers (TLS termination)
- VPN/WireGuard (acceso administrativo)
3. Arquitectura de Red
3.1 Segmentos de Red
| Segmento | CIDR | Tipo | Función | PCI Scope |
|---|---|---|---|---|
| DMZ | 10.100.1.0/24 | Pública | Load Balancer, WAF | Sí (boundary) |
| CDE | 10.100.10.0/24 | Privada | Servicios PCI, DB managed | Sí |
| App | 10.100.20.0/24 | Privada | Microservicios no-PCI | No |
| Mgmt | 10.100.30.0/24 | Privada | Monitoring, Admin | No |
3.2 Diagrama de Referencia
Ver: backend/docs/pci-dss/network_diagram.md
4. Protocolos y Puertos Permitidos
4.1 Tráfico Autorizado — DMZ
| Dirección | Protocolo | Puerto | Origen | Destino | Justificación Comercial |
|---|---|---|---|---|---|
| Ingress | TCP | 443 | 0.0.0.0/0 | DMZ LB | API pública HTTPS para merchants y consumidores |
| Ingress | TCP | 80 | 0.0.0.0/0 | DMZ LB | Redirect a HTTPS |
| Egress | TCP | 8000/8443 | DMZ | CDE Kong | Proxy hacia API Gateway |
| DEFAULT | * | * | * | * | DENY |
4.2 Tráfico Autorizado — CDE
| Dirección | Protocolo | Puerto | Origen | Destino | Justificación Comercial |
|---|---|---|---|---|---|
| Ingress | TCP | 8000 | DMZ | Kong | Tráfico API desde Load Balancer |
| Ingress | TCP | 3600 | App, CDE | tokenization-svc | Tokenización de tarjetas |
| Ingress | TCP | 3700 | App, CDE | auth-service | Autenticación JWT |
| Ingress | TCP | 3510 | CDE | card-vault-svc | Acceso a vault cifrado (solo desde tokenization) |
| Egress | TCP | 25060-25061 | CDE | Managed PG | Conexión TLS a base de datos managed |
| Egress | TCP | 443 | CDE | Internet | Validación de certificados, actualizaciones de seguridad |
| DEFAULT | * | * | * | * | DENY |
4.3 Tráfico Autorizado — App
| Dirección | Protocolo | Puerto | Origen | Destino | Justificación Comercial |
|---|---|---|---|---|---|
| Ingress | TCP | 3000-4200 | CDE, DMZ, App | App svcs | Comunicación entre microservicios |
| Egress | TCP | 3600/3700 | App | CDE | Validación de tokens y autenticación |
| Egress | TCP | 443 | App | Internet | APIs externas (procesadores de pago, email) |
| DEFAULT | * | * | * | * | DENY |
4.4 Protocolos Inseguros — Prohibidos
Los siguientes protocolos están prohibidos en todos los segmentos:
| Protocolo | Puerto | Razón de Prohibición |
|---|---|---|
| Telnet | 23 | Transmisión en texto claro |
| FTP | 20-21 | Transmisión en texto claro |
| HTTP | 80 | Solo permitido para redirect a HTTPS |
| SNMP v1/v2 | 161-162 | Community strings en claro |
| rlogin | 513 | Sin cifrado |
Si un protocolo inseguro es absolutamente necesario, debe documentarse con:
- Justificación comercial firmada por Gerencia
- Controles compensatorios implementados
- Fecha de expiración y plan de migración
5. Gestión de Cambios de Firewall
5.1 Proceso de Cambio
Todo cambio en reglas de firewall o Network Policies debe seguir este proceso:
- Solicitud: Formulario de cambio (ver
templates/TMPL-001-FIREWALL_CHANGE.md) - Evaluación de impacto: Análisis por equipo de seguridad
- Aprobación: Firma del Oficial de Seguridad o designado
- Implementación: En ventana de cambio autorizada
- Prueba: Verificación de que el cambio funciona sin abrir accesos no deseados
- Documentación: Actualizar diagrama de red y registros de firewall
- Plan de reversión: Procedimiento documentado para revertir si falla
5.2 Información Mínima en Tickets de Cambio
| Campo | Descripción |
|---|---|
| Descripción del cambio | Qué regla se agrega/modifica/elimina |
| Fecha del cambio | Cuándo se implementa |
| Solicitante | Quién lo solicita |
| Aprobador | Quién lo aprueba (diferente al solicitante) |
| Impacto | Qué sistemas y tráfico se afectan |
| Pruebas realizadas | Cómo se verificó que funciona correctamente |
| Plan de reversión | Cómo revertir el cambio si causa problemas |
5.3 Cambios de Emergencia
- Cambios de emergencia pueden implementarse sin aprobación previa escrita
- Deben ser documentados y aprobados retroactivamente dentro de 24 horas
- Se notifica inmediatamente al Oficial de Seguridad
6. Revisión de Reglas de Firewall
6.1 Frecuencia de Revisión
- Cada 6 meses (como mínimo) se revisan todas las reglas de firewall
- Después de cada cambio significativo en la arquitectura de red
6.2 Proceso de Revisión
- Extraer configuración actual de cada firewall (DO Cloud Firewalls + K8s NetworkPolicies)
- Comparar contra la línea base autorizada (este documento)
- Identificar reglas que ya no son necesarias
- Verificar que no existen reglas "any-any" o excesivamente permisivas
- Documentar hallazgos en informe de revisión
- Implementar remediación de hallazgos
6.3 Equipo de Revisión
- Mínimo 2 personas con conocimiento de la arquitectura de red
- Al menos una persona debe tener certificación de seguridad o experiencia demostrable (ej: CCNA Security, CompTIA Security+, experiencia en firewalls cloud)
7. Configuración Específica
7.1 DMZ
- El Load Balancer termina TLS y reenvía tráfico al CDE
- No se almacenan datos de tarjetas en la DMZ
- Kong Gateway actúa como WAF con reglas de seguridad
7.2 Anti-Spoofing
- DigitalOcean Cloud Firewalls implementan anti-spoofing por defecto (no se puede enviar tráfico con IP de origen falsificada desde un Droplet)
- Las direcciones IP privadas (VPC) no son accesibles desde Internet
- Las IPs internas de Kubernetes pods no son ruteables externamente
7.3 Stateful Inspection
- DigitalOcean Cloud Firewalls son stateful por defecto: las conexiones establecidas permiten tráfico de retorno automáticamente
- Las Network Policies de Kubernetes son igualmente stateful
7.4 Archivos de Configuración
Los archivos de configuración de red se almacenan en:
| Archivo | Ubicación | Protección |
|---|---|---|
| Cloud Firewalls | Terraform state (cifrado) | backend/infra/terraform/digitalocean/ |
| K8s NetworkPolicies | Git (branch protected) | backend/infra/kubernetes/network-policies.yaml |
| Kong config | Git + decK sync | backend/infra/kong/ |
- Los archivos están versionados en Git con branch protection (requiere PR + review)
- El estado de Terraform está cifrado en backend remoto
- Los cambios son trazables mediante historial de commits
8. Dispositivos de Empleados (Acceso Remoto)
8.1 Estándar de Configuración
Todo dispositivo que acceda al entorno PCI debe cumplir:
| Control | Requisito |
|---|---|
| Sistema Operativo | Actualizado con últimos parches |
| Antivirus/Anti-malware | Instalado y activo (no deshabilitado por usuario) |
| Firewall de host | Habilitado |
| Cifrado de disco | Habilitado (FileVault/BitLocker) |
| Bloqueo de pantalla | Máximo 5 minutos de inactividad |
| VPN | Obligatorio para acceso a red interna |
8.2 Acceso Remoto
- Todo acceso remoto requiere VPN (WireGuard) + MFA
- Los usuarios no pueden deshabilitar controles de seguridad de host excepto con autorización documentada de Gerencia por un período limitado
- Se mantiene un registro de todos los dispositivos autorizados
9. Métricas y Monitoreo
| Métrica | Frecuencia | Alerta |
|---|---|---|
| Intentos de conexión denegados | Tiempo real | >100/min desde misma IP |
| Cambios en reglas de firewall | Tiempo real | Inmediato |
| Reglas sin uso | Mensual | Revisión manual |
Historial de Revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-03-13 | Equipo DevOps / Seguridad | Documento inicial |
Aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| CISO / Oficial de Seguridad | _________________ | _________________ | //____ |
| Gerencia Ejecutiva | _________________ | _________________ | //____ |