Tema
POL-009: Política de Seguridad Física
| Campo | Valor |
|---|---|
| ID | POL-009 |
| Versión | 1.0 |
| Fecha de Emisión | 2026-03-13 |
| Próxima Revisión | 2027-03-13 |
| Propietario | CISO / Gerencia de Operaciones |
| PCI DSS | Requisito 9 |
| Preguntas ControlCase | Q58, Q59, Q60, Q61, Q62, Q63, Q64, Q65, Q66 |
1. Propósito
Definir los controles de seguridad física aplicables a la protección de sistemas y datos en el entorno de datos de tarjetas (CDE) de Fintrixs, considerando que la infraestructura de producción es 100% cloud-native en DigitalOcean.
2. Modelo de Infraestructura y Delegación de Responsabilidad
2.1 Declaración de Arquitectura
Fintrixs opera un modelo 100% cloud-native sin centros de datos propios:
| Componente | Ubicación | Responsable de Seguridad Física |
|---|---|---|
| Servidores de producción (DOKS) | DigitalOcean Data Center (NYC1/NYC3) | DigitalOcean |
| Bases de datos administradas (PostgreSQL) | DigitalOcean Managed Databases | DigitalOcean |
| Almacenamiento (Spaces/Volumes) | DigitalOcean Data Center | DigitalOcean |
| VMs de compliance (CDD/VAPT) | DigitalOcean Droplets (NYC1) | DigitalOcean |
| Oficinas de desarrollo | Oficina corporativa / Remoto | Fintrixs |
| Estaciones de trabajo de desarrollo | Laptops/PCs de desarrolladores | Fintrixs |
2.2 Cumplimiento del Proveedor Cloud
DigitalOcean es responsable de la seguridad física de los data centers donde opera la infraestructura de Fintrixs.
| Control Físico | Evidencia de DigitalOcean |
|---|---|
| Control de acceso al data center | SOC 2 Type II — Controles de acceso biométrico, tarjeta, escolta |
| Videovigilancia (CCTV) | SOC 2 Type II — Monitoreo 24/7 con retención |
| Guardias de seguridad | SOC 2 Type II — Personal de seguridad 24/7 |
| Protección ambiental | SOC 2 Type II — Supresión de incendios, HVAC, protección contra inundaciones |
| Registro de visitantes | SOC 2 Type II — Registro con escolta obligatoria |
| Destrucción de medios | SOC 2 Type II — Sanitización/destrucción certificada de discos |
📄 El SOC 2 Type II de DigitalOcean se solicita anualmente como evidencia de cumplimiento.
3. Controles de Seguridad Física – Oficinas de Fintrixs (Q58, Q59, Q60)
3.1 Acceso a Áreas Sensibles
| Control | Implementación |
|---|---|
| Acceso a la oficina | Llave/tarjeta con control de acceso |
| Área de trabajo de desarrollo | Acceso restringido a empleados autorizados |
| Visitantes | Registro, identificación visible, acompañamiento |
| Autorización | Lista de personal autorizado revisada trimestralmente |
3.2 Monitoreo
| Control | Implementación |
|---|---|
| Cámaras | En entradas principales y áreas comunes |
| Retención de video | Mínimo 3 meses |
| Protección de cámaras | Contra manipulación, deshabilitación o reubicación |
3.3 Restricciones Especiales
| Control | Detalle |
|---|---|
| Dispositivos no autorizados | Prohibido conectar dispositivos no corporativos a la red |
| Pantalla limpia | Bloqueo automático de pantalla tras 5 minutos de inactividad |
| Escritorio limpio | No dejar información sensible visible al retirarse |
4. Dispositivos de Punto de Interacción (POI) – Q61, Q62, Q63
4.1 Declaración de No Aplicabilidad
Fintrixs NO opera dispositivos de punto de interacción (POS, terminales de pago físicos).
Todas las transacciones se procesan de forma digital a través de APIs.
| Aspecto | Declaración |
|---|---|
| Terminales POS/POI | N/A — Fintrixs es un procesador digital, no opera terminales físicos |
| Inventario de POI | N/A |
| Inspección periódica de POI | N/A |
| Capacitación en manipulación de POI | N/A |
| Skimming/tampering | N/A — No hay dispositivos físicos expuestos |
5. Medios Físicos con Datos de Tarjetas – Q64, Q65, Q66
5.1 Política de Medios Físicos
Los datos de tarjetas de Fintrixs NUNCA se almacenan en medios físicos.
| Control | Implementación |
|---|---|
| Impresión de datos de tarjetas | Prohibida — Todo dato de tarjeta existe solo en formato digital cifrado |
| USBs/discos con datos de tarjetas | Prohibido — Política de no-copia a medios removibles |
| Transporte de medios con datos de tarjetas | N/A — No existen medios físicos con datos de tarjetas |
| Destrucción de medios | N/A — En caso de decomisionar hardware de desarrollo: destrucción certificada |
5.2 Control de Medios Electrónicos
| Control | Implementación |
|---|---|
| Cifrado de laptops | Full disk encryption obligatorio (FileVault/BitLocker) |
| Cifrado de backups | AES-256 para cualquier backup |
| Política de USB | Puertos USB restringidos por política de endpoint |
| Eliminación de datos | Borrado seguro (NIST SP 800-88) antes de reasignar o desechar equipo |
5.3 Inventario de Medios
| Tipo | Cantidad | Ubicación | Datos Sensibles |
|---|---|---|---|
| Laptops de desarrollo | Según nómina | Asignadas individualmente | Código fuente (no datos de tarjetas) |
| Servidores físicos | 0 | N/A — Todo en cloud | N/A |
| Medios removibles con CHD | 0 | N/A | N/A |
6. Destrucción de Datos
6.1 Procedimiento de Destrucción
| Tipo de Medio | Método de Destrucción | Estándar |
|---|---|---|
| Discos SSD/HDD (si aplica) | Destrucción física certificada | NIST SP 800-88 |
| Medios ópticos (si aplica) | Trituración | DoD 5220.22-M |
| Documentos en papel | Trituradora de corte cruzado | DIN 66399 Level P-4+ |
| Datos digitales | Borrado criptográfico (destrucción de claves) | NIST SP 800-88 |
| Volúmenes cloud (DigitalOcean) | Destrucción gestionada por DO | SOC 2 Type II |
6.2 Registro de Destrucción
Cada evento de destrucción se registra con:
- Tipo de medio destruido
- Método utilizado
- Fecha de destrucción
- Responsable
- Testigo (para medios con datos sensibles)
- Certificado de destrucción (si aplica)
Historial de Revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-03-13 | CISO / Operaciones | Documento inicial |
Aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| CISO / Oficial de Seguridad | _________________ | _________________ | //____ |
| Gerencia Ejecutiva | _________________ | _________________ | //____ |