Fintrixs PCI DSS

Tema

POL-004: Política de Estándares de Cifrado

CampoValor
IDPOL-004
Versión1.0
ClasificaciónInterno — Confidencial
Fecha de Emisión2026-03-13
Próxima Revisión2027-03-13
PropietarioCISO / Equipo de Desarrollo
PCI DSSRequisitos 3, 4
Preguntas ControlCaseQ26, Q29, Q1034

1. Propósito

Definir los estándares de cifrado y gestión de claves criptográficas para la protección de datos sensibles en reposo y en tránsito.

2. Inventario de Suites y Protocolos de Cifrado

2.1 Cifrado en Tránsito

ConexiónProtocoloVersión MínCipher SuitesPropósito
Cliente → APITLS1.2TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256Tráfico API público
Kong → MicroserviciosmTLS1.2TLS_AES_256_GCM_SHA384Comunicación interna CDE
Servicios → PostgreSQLTLS1.2TLS_AES_256_GCM_SHA384Queries a base de datos
VPN (WireGuard)Noise ProtocolIKpsk2ChaCha20-Poly1305, BLAKE2sAcceso remoto administrativo

2.2 Cifrado en Reposo

DatoAlgoritmoKey SizeModoPropósito
PAN tokenizadoAES256 bitsGCM (autenticado)Protección de datos de tarjeta en vault_db
Integridad de PANHMAC256 bitsSHA-256Verificación de integridad
Passwords de usuarioArgon2idN/AN/AHash unidireccional
API KeysSHA256 bitsN/AHash unidireccional
Backups de DBAES256 bitsCBCProtección de backups
Managed PostgreSQL (DO)AES256 bitsXTSCifrado de disco por proveedor

2.3 Firmas Digitales

UsoAlgoritmoKey SizePropósito
JWT TokensRSA2048 bitsFirma de tokens de autenticación (RS256)
Webhook signaturesHMAC256 bitsVerificación de integridad de webhooks
TLS CertificatesRSA/ECDSA2048/256 bitsAutenticación de servidor

3. Protocolos Prohibidos

Protocolo/AlgoritmoRazón de Prohibición
SSL 2.0, 3.0Vulnerabilidades conocidas (POODLE, BEAST)
TLS 1.0, 1.1Deprecated por NIST (SP 800-52 Rev 2)
DES, 3DESKey size insuficiente
RC4Bias estadístico conocido
MD5Colisiones demostradas
SHA-1Colisiones demostradas (SHAttered)
RSA < 2048 bitsKey size insuficiente
CBC sin HMACVulnerable a padding oracle

4. Gestión de Claves Criptográficas

4.1 Ciclo de Vida de Claves

FaseProcedimientoResponsable
GeneraciónCSPRNG (crypto.randomBytes en Node.js, /dev/urandom)Sistema automatizado
DistribuciónKubernetes Secrets (sealed) o HashiCorp VaultDevOps
AlmacenamientoCifrado en reposo (Sealed Secrets / Vault)Infraestructura
UsoSolo por servicios autorizados vía RBACAplicación
RotaciónSegún calendario (ver §4.2)Automatizado + DevOps
RevocaciónInmediata ante compromiso sospechadoOficial de Seguridad
DestrucciónSecure wipe + registro en audit logSistema + Oficial

4.2 Calendario de Rotación

Tipo de ClaveFrecuencia de RotaciónMétodo
Master Encryption Key (MEK)AnualManual con dual control
Data Encryption Keys (DEK)Por transacción (derivadas de MEK)Automático
HMAC KeysMensualAutomático (CronJob)
JWT Signing Keys (RSA)SemanalAutomático
TLS CertificatesAntes de expiración (auto-renewal via cert-manager)Automático
API Keys de tercerosAnual o ante compromisoManual
Database passwordsTrimestralSemi-automático

4.3 Custodia de Claves

  • La clave maestra (MEK) requiere dual control: dos personas distintas, cada una con una parte de la clave
  • Ninguna persona individual tiene acceso a la clave completa
  • Los custodios de claves firman un reconocimiento de su responsabilidad

5. Inventario de Certificados TLS

Dominio/ServicioEmisorTipoExpiraciónAuto-renewal
*.fintrixs.comLet's EncryptDVAuto-renovación cada 60 díascert-manager
API interno (mTLS)CA interna (K8s)Interno1 añocert-manager
Managed PostgreSQLDigitalOcean CAManagedGestionado por DO

5.1 Validación de Certificados

  • Certificados que no pueden ser verificados como confiables son rechazados
  • Conexiones TLS validan: expiración, cadena de confianza, revocación
  • No se aceptan certificados auto-firmados en producción (excepto CA interna para mTLS)

6. Monitoreo de Viabilidad Criptográfica

6.1 Fuentes Monitoreadas

  • NIST Special Publications (SP 800-57, SP 800-131A)
  • ENISA Algorithms Report
  • RFC/IETF deprecation notices
  • PCI SSC Bulletin Board

6.2 Proceso de Monitoreo

  • Revisión trimestral de avisos de vulnerabilidades criptográficas
  • Evaluación de impacto si un algoritmo en uso es declarado vulnerable
  • Actualización de este inventario ante cualquier cambio

7. Estrategia de Respuesta a Cambios Criptográficos

Si un algoritmo o protocolo en uso es declarado vulnerable o deprecated:

SeveridadAcciónPlazo
Crítica (explotación activa)Migración de emergencia24-72 horas
Alta (vulnerabilidad demostrada)Plan de migración urgente30 días
Media (deprecation anunciado)Plan de migración planificado6 meses
Baja (recomendación de transición)Inclusión en roadmap12 meses

7.1 Plan de Migración Criptográfica

  1. Evaluación de impacto (sistemas afectados)
  2. Selección de algoritmo de reemplazo (aprobado por NIST)
  3. Pruebas en entorno de desarrollo
  4. Migración gradual con soporte dual temporal
  5. Verificación de compatibilidad
  6. Remoción del algoritmo deprecated
  7. Actualización de documentación

8. Datos Sensibles — Búsqueda y Verificación (Q26)

8.1 Escaneo de PAN

  • Se realiza un escaneo trimestral de todos los activos en scope buscando PAN almacenado
  • Herramientas: scripts personalizados + herramientas de descubrimiento de datos
  • Alcance: Bases de datos, logs, archivos temporales, backups

8.2 SAD (Sensitive Authentication Data)

  • CVV/CVC: No existe campo en ninguna tabla de la base de datos. Validación de DTOs rechaza estos campos.
  • Track completo: No procesado ni almacenado
  • PIN/PIN block: No procesado ni almacenado
  • Los logs de aplicación redactan automáticamente campos sensibles (ver packages/logging/)

Historial de Revisiones

VersiónFechaAutorCambios
1.02026-03-13Equipo de Desarrollo / SeguridadDocumento inicial

Aprobación

RolNombreFirmaFecha
CISO / Oficial de Seguridad__________________________________//____
Gerencia Ejecutiva__________________________________//____

Documentación Confidencial — Solo para uso interno y auditoría PCI DSS

© 2026 Fintrixs SAS. Todos los derechos reservados.