Tema
POL-012: Política de Clasificación y Protección de Datos
| Campo | Valor |
|---|---|
| ID | POL-012 |
| Versión | 1.0 |
| Fecha de Emisión | 2026-03-13 |
| Próxima Revisión | 2027-03-13 |
| Propietario | CISO |
| PCI DSS | Requisitos 3, 4, 12.5 |
| Preguntas ControlCase | Q7, Q8, Q9, Q10, Q11, Q12, Q13, Q14, Q15, Q16, Q17, Q18, Q19 |
1. Propósito
Definir el marco de clasificación, manejo, almacenamiento, transmisión y destrucción de datos de la organización, con énfasis en los datos de titulares de tarjetas (CHD) y datos sensibles de autenticación (SAD).
2. Definiciones PCI DSS
| Término | Definición | Elementos |
|---|---|---|
| CHD (Cardholder Data) | Datos del titular de la tarjeta | PAN, nombre del titular, fecha de expiración, código de servicio |
| SAD (Sensitive Authentication Data) | Datos sensibles de autenticación | CAV2/CVC2/CVV2/CID, PIN/PIN Block, datos de banda magnética/chip |
| PAN | Primary Account Number | Número de cuenta principal (16 dígitos) |
3. Clasificación de Datos
3.1 Niveles de Clasificación
| Nivel | Descripción | Ejemplos | Controles Mínimos |
|---|---|---|---|
| Restringido | Datos cuya exposición causaría daño grave; incluye todos los CHD y SAD | PAN, CVV, PIN, claves de cifrado, JWT signing keys | Cifrado obligatorio (tránsito + reposo), acceso estrictamente por necesidad, logging completo, no copiar |
| Confidencial | Datos internos sensibles | Credenciales de servicio, datos personales de clientes (PII), información financiera de la empresa | Cifrado en tránsito, control de acceso, logging |
| Interno | Datos operativos de uso interno | Documentación técnica, código fuente, configuraciones no sensibles | Control de acceso, repositorio privado |
| Público | Información destinada al público | Documentación de API pública, website, marketing | Sin restricciones de acceso |
3.2 Clasificación de Elementos de Datos de Tarjetas
| Elemento | Clasificación | ¿Se puede almacenar? | Protección Requerida |
|---|---|---|---|
| PAN | Restringido | Sí — tokenizado (AES-256-GCM) | Cifrado + enmascaramiento en display |
| Nombre del titular | Restringido | Sí — con protección | Cifrado en tránsito |
| Fecha de expiración | Restringido | Sí — con protección | Cifrado en tránsito |
| Código de servicio | Restringido | Sí — con protección | Cifrado en tránsito |
| CAV2/CVC2/CVV2 | Restringido | NO — Nunca post-autorización | Solo en memoria, nunca persistido |
| PIN / PIN Block | Restringido | NO — Nunca post-autorización | Solo en memoria, nunca persistido |
| Banda magnética (Track) | Restringido | NO — Nunca post-autorización | N/A (Fintrixs no procesa) |
| Chip (EMV) | Restringido | NO — Nunca post-autorización | N/A (Fintrixs no procesa) |
4. Almacenamiento de Datos de Tarjetas (Q7–Q13)
4.1 Dónde se Almacenan Datos de Tarjetas
| Ubicación | Datos Almacenados | Forma | Justificación |
|---|---|---|---|
vault_db (PostgreSQL) | PAN tokenizado | Token AES-256-GCM (cifrado) | Procesamiento recurrente, disputas |
auth_db (PostgreSQL) | Credenciales de usuarios | Argon2id hash | Autenticación |
| Logs de aplicación | PAN enmascarado (primeros 6 / últimos 4) | Texto con máscara | Trazabilidad |
| Backups | PAN tokenizado (cifrado) | Backup cifrado AES-256 | Recuperación ante desastre |
| Memoria (runtime) | PAN, SAD temporalmente | Sin persistir | Procesamiento de transacción |
⚠️ El PAN completo en texto claro NUNCA se almacena en disco, base de datos, log, ni backup.
4.2 Dónde NO se Almacenan Datos de Tarjetas
| Ubicación Prohibida | Control |
|---|---|
| Logs de aplicación (PAN completo) | Filtro de enmascaramiento automático |
| Archivos temporales | No se generan archivos temp con CHD |
| Caché/Redis | CHD no se cachea |
| Cookies | No se almacena CHD en cookies |
| URLs/Query parameters | CHD solo en body de POST (nunca en URL) |
| Frontend (localStorage, sessionStorage) | Prohibido almacenar CHD en cliente |
| Emails | Prohibido enviar CHD por email |
| Mensajería (Slack, Teams) | Prohibido compartir CHD |
4.3 Retención y Eliminación (Q9)
| Tipo de Dato | Retención Máxima | Proceso de Eliminación | Periodicidad de Revisión |
|---|---|---|---|
| PAN tokenizado | Mientras exista relación comercial o por requisito legal | Eliminación criptográfica (destrucción de clave) | Trimestral |
| SAD (CVV, PIN) | 0 — Nunca se persiste | Limpieza de memoria post-procesamiento | N/A |
| Logs con PAN enmascarado | 12 meses | Eliminación automática | Automática |
| Backups con datos cifrados | 12 meses | Eliminación automática + verificación | Mensual |
4.4 Proceso Trimestral de Revisión de Retención
- Identificar todos los almacenes de datos que contienen o podrían contener CHD
- Verificar que los datos exceden la retención definida
- Ejecutar eliminación segura de datos expirados
- Verificar eliminación completa
- Documentar resultados
5. Enmascaramiento del PAN (Q14)
5.1 Regla de Enmascaramiento
| Contexto | Formato Visible | Ejemplo |
|---|---|---|
| Display en UI | Primeros 6 / últimos 4 (máximo) | 423456••••••3456 |
| Logs de auditoría | Primeros 6 / últimos 4 | 423456******3456 |
| Recibos/Notificaciones | Últimos 4 | ••••••••••••3456 |
| Reportes internos | Primeros 6 / últimos 4 | 423456••••••3456 |
| Soporte al cliente | Últimos 4 | ****3456 |
5.2 Acceso al PAN Completo
Solo los siguientes roles tienen justificación de negocio para acceder al PAN completo (detokenizado):
- Procesamiento de transacciones (automatizado, sin intervención humana)
- Disputas/chargebacks (con aprobación y logging)
Todo acceso a detokenización se registra en logs de auditoría.
6. Cifrado de Datos de Tarjetas
6.1 En Reposo (At-Rest) — Q10
| Dato | Algoritmo | Tamaño de Clave | Implementación |
|---|---|---|---|
| PAN (tokenización) | AES-256-GCM | 256 bits | tokenization-service |
| Contraseñas | Argon2id | N/A (hash) | auth-service |
| Backups de BD | AES-256-GCM | 256 bits | Script de backup |
| Volúmenes DO | AES-256 | 256 bits | DO (automático) |
6.2 En Tránsito (In-Transit) — Q15, Q16, Q17, Q18
| Canal | Protocolo | Versión Mínima |
|---|---|---|
| Cliente → Kong | TLS | 1.2 |
| Kong → Microservicios | TLS / mTLS | 1.2 |
| Microservicio → PostgreSQL | TLS | 1.2 (sslmode=require) |
| Microservicio → Microservicio | TLS (intra-cluster) | 1.2 |
6.3 Redes Inalámbricas (Q18, Q19)
| Aspecto | Política |
|---|---|
| Wi-Fi en oficina | WPA3 o WPA2-Enterprise obligatorio |
| Transmisión de CHD por Wi-Fi | Prohibida sin VPN |
| Redes públicas | VPN obligatoria para acceso a cualquier sistema |
| SSID de redes CDE | N/A — CDE está en cloud, no hay WLAN para CDE |
| Monitoreo de rogue APs | Escaneo trimestral en oficinas |
| Default passwords en APs | Prohibidos — cambiar antes de producción |
7. Descubrimiento de Datos (Data Discovery)
7.1 Escaneo de Datos de Tarjetas
| Actividad | Frecuencia | Herramienta | Alcance |
|---|---|---|---|
| Búsqueda de PAN en texto claro | Trimestral | Script personalizado + grep con regex | Todos los sistemas en scope |
| Revisión de logs por CHD | Mensual | Grep automatizado en log aggregator | Todos los logs |
| Revisión de código por CHD hardcoded | Cada PR | CI/CD + revisión de código | Código fuente |
| Verificación de no almacenamiento de SAD | Trimestral | Revisión manual + escaneo | Bases de datos + archivos |
7.2 Regex para Detección de PAN
# Visa
4[0-9]{12}(?:[0-9]{3})?
# Mastercard
(?:5[1-5][0-9]{2}|222[1-9]|22[3-9][0-9]|2[3-6][0-9]{2}|27[01][0-9]|2720)[0-9]{12}
# American Express
3[47][0-9]{13}8. Responsabilidades
| Rol | Responsabilidad |
|---|---|
| CISO | Definir clasificación, aprobar excepciones, revisar cumplimiento |
| DevOps | Implementar controles técnicos, ejecutar escaneos de datos |
| Desarrolladores | Cumplir con clasificación en código, no almacenar CHD indebidamente |
| Todo el personal | Conocer y cumplir la clasificación, reportar incumplimientos |
Historial de Revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-03-13 | CISO | Documento inicial |
Aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| CISO / Oficial de Seguridad | _________________ | _________________ | //____ |
| Gerencia Ejecutiva | _________________ | _________________ | //____ |