Tema
TRA-001: Análisis de Riesgo Dirigido (Targeted Risk Analysis)
| Campo | Valor |
|---|---|
| ID | TRA-001 |
| Versión | 1.0 |
| Fecha de Emisión | 2026-03-13 |
| Próxima Revisión | 2027-03-13 |
| Propietario | CISO |
| PCI DSS | Requisito 12.3.1, 12.3.2 |
| Preguntas ControlCase | Q1027 |
1. Propósito
Documentar los análisis de riesgo dirigidos (Targeted Risk Analysis — TRA) requeridos por PCI DSS v4.0 para justificar las frecuencias de actividades de seguridad y para el enfoque personalizado de cumplimiento de ciertos requisitos.
2. Metodología
2.1 Marco de Evaluación
Cada TRA sigue estos pasos:
- Identificar el activo/proceso a evaluar
- Identificar amenazas relevantes (fuentes: MITRE ATT&CK, OWASP, experiencia de la industria)
- Evaluar vulnerabilidades existentes
- Determinar probabilidad de explotación (1-5)
- Determinar impacto si se materializa (1-5)
- Calcular riesgo = Probabilidad × Impacto
- Definir frecuencia del control basado en nivel de riesgo
- Documentar justificación
- Aprobar por gerencia responsable
2.2 Escala de Probabilidad
| Valor | Nivel | Descripción |
|---|---|---|
| 1 | Muy baja | Evento raro, sin precedentes conocidos |
| 2 | Baja | Posible pero poco probable en el próximo año |
| 3 | Media | Puede ocurrir en el próximo año |
| 4 | Alta | Probable que ocurra en los próximos 6 meses |
| 5 | Muy alta | Esperado que ocurra en el próximo mes |
2.3 Escala de Impacto
| Valor | Nivel | Descripción |
|---|---|---|
| 1 | Mínimo | Sin impacto en datos de tarjetas ni operación |
| 2 | Bajo | Impacto menor, recuperable sin esfuerzo significativo |
| 3 | Medio | Compromiso parcial de datos o interrupción temporal |
| 4 | Alto | Compromiso significativo de datos de tarjetas o interrupción prolongada |
| 5 | Crítico | Brecha masiva de datos de tarjetas, impacto regulatorio severo |
2.4 Matriz de Riesgo
| Impacto 1 | Impacto 2 | Impacto 3 | Impacto 4 | Impacto 5 | |
|---|---|---|---|---|---|
| Prob 5 | 5 (M) | 10 (A) | 15 (A) | 20 (C) | 25 (C) |
| Prob 4 | 4 (B) | 8 (M) | 12 (A) | 16 (A) | 20 (C) |
| Prob 3 | 3 (B) | 6 (M) | 9 (M) | 12 (A) | 15 (A) |
| Prob 2 | 2 (B) | 4 (B) | 6 (M) | 8 (M) | 10 (A) |
| Prob 1 | 1 (B) | 2 (B) | 3 (B) | 4 (B) | 5 (M) |
B = Bajo (1-4) | M = Medio (5-9) | A = Alto (10-15) | C = Crítico (16-25)
3. TRA Completados
3.1 TRA-001-01: Frecuencia de Escaneo de Vulnerabilidades Internas
| Campo | Valor |
|---|---|
| Requisito PCI DSS | 11.3.1 — Escaneos internos trimestrales |
| Activo evaluado | Todos los sistemas del CDE |
| Amenaza | Vulnerabilidades no parcheadas explotadas por atacante |
| Vulnerabilidades | Dependencias npm, imágenes Docker, configuraciones |
| Probabilidad | 3 (Media) — nuevas CVEs se publican semanalmente |
| Impacto | 4 (Alto) — compromiso del CDE |
| Riesgo | 12 (Alto) |
| Frecuencia determinada | Trimestral + después de cambios significativos |
| Justificación | Riesgo Alto justifica frecuencia trimestral mínima. Adicionalmente, npm audit se ejecuta en cada CI build para detección continua |
| Controles compensatorios | CI/CD ejecuta npm audit en cada commit, Dependabot alertas en tiempo real |
| Aprobado por | CISO |
| Fecha | 2026-03-13 |
3.2 TRA-001-02: Frecuencia de Revisión de Reglas de Firewall
| Campo | Valor |
|---|---|
| Requisito PCI DSS | 1.2.7 — Revisión de reglas de firewall |
| Activo evaluado | Cloud Firewall (DO), K8s Network Policies, Kong routes |
| Amenaza | Reglas obsoletas o excesivamente permisivas abren vectores de ataque |
| Vulnerabilidades | Acumulación de reglas legacy, reglas temporales no removidas |
| Probabilidad | 2 (Baja) — cambios de firewall son infrecuentes y controlados por IaC |
| Impacto | 4 (Alto) — regla permisiva puede exponer CDE |
| Riesgo | 8 (Medio) |
| Frecuencia determinada | Semestral |
| Justificación | Riesgo Medio. Cambios gestionados por IaC (Git) con review. Semestral es adecuado dado el bajo volumen de cambios |
| Aprobado por | CISO |
| Fecha | 2026-03-13 |
3.3 TRA-001-03: Frecuencia de Revisión de Cuentas de Usuario
| Campo | Valor |
|---|---|
| Requisito PCI DSS | 7.2.5 — Revisión de cuentas y privilegios |
| Activo evaluado | Cuentas en auth-service, GitHub, DigitalOcean, PostgreSQL |
| Amenaza | Cuentas huérfanas, privilegios excesivos |
| Vulnerabilidades | Personal que deja la empresa con acceso activo |
| Probabilidad | 3 (Media) — rotación de personal normal |
| Impacto | 4 (Alto) — acceso no autorizado al CDE |
| Riesgo | 12 (Alto) |
| Frecuencia determinada | Semestral |
| Justificación | Riesgo Alto. Off-boarding inmediato mitiga riesgo principal. Revisión semestral para detectar acumulación de privilegios |
| Aprobado por | CISO |
| Fecha | 2026-03-13 |
3.4 TRA-001-04: Frecuencia de Revisión de Logs
| Campo | Valor |
|---|---|
| Requisito PCI DSS | 10.4.1 — Revisión de logs de auditoría |
| Activo evaluado | Logs de todos los componentes del CDE |
| Amenaza | Actividad maliciosa no detectada en logs |
| Vulnerabilidades | Volumen alto de logs puede ocultar eventos relevantes |
| Probabilidad | 3 (Media) |
| Impacto | 5 (Crítico) — brecha no detectada a tiempo |
| Riesgo | 15 (Alto) |
| Frecuencia determinada | Diaria (automatizada con alertas) + revisión manual semanal |
| Justificación | Riesgo Alto con impacto Crítico justifica frecuencia diaria. Alertas automatizadas (Prometheus) complementan con detección en tiempo real |
| Aprobado por | CISO |
| Fecha | 2026-03-13 |
3.5 TRA-001-05: Anti-Malware en Contenedores (Enfoque Personalizado)
| Campo | Valor |
|---|---|
| Requisito PCI DSS | 5.2.1 — Anti-malware en todos los sistemas |
| Activo evaluado | Contenedores Docker en CDE (node:20-alpine) |
| Amenaza | Malware ejecutándose dentro de contenedores |
| Vulnerabilidades | Supply chain attack (dependencia maliciosa), compromiso de imagen base |
| Probabilidad | 2 (Baja) — imágenes oficiales, npm audit, Trivy scanning |
| Impacto | 5 (Crítico) — acceso al CDE |
| Riesgo | 10 (Alto) |
| Decisión | Anti-malware tradicional NO viable en Alpine containers. Controles compensatorios implementados |
| Controles compensatorios | Falco (runtime behavioral detection), Trivy (image scanning), read-only filesystem, non-root, drop all capabilities, immutable containers |
| Justificación | Anti-malware basado en firmas no es compatible con contenedores efímeros Alpine. Los controles compensatorios en conjunto proveen detección equivalente o superior |
| Aprobado por | CISO |
| Fecha | 2026-03-13 |
3.6 TRA-001-06: Frecuencia de Rotación de Claves Criptográficas
| Campo | Valor |
|---|---|
| Requisito PCI DSS | 3.7.4 — Rotación de claves |
| Activo evaluado | MEK, DEK, JWT signing keys, HMAC keys |
| Amenaza | Compromiso de clave criptográfica por exposición prolongada |
| Vulnerabilidades | Clave comprometida permite descifrar todos los datos protegidos |
| Probabilidad | 2 (Baja) — claves almacenadas en K8s Secrets con acceso restringido |
| Impacto | 5 (Crítico) — acceso a todos los PANs tokenizados |
| Riesgo | 10 (Alto) |
| Frecuencia determinada | MEK: Anual, DEK: por transacción, JWT: Semanal, HMAC: Mensual |
| Justificación | Riesgo Alto. Frecuencia diferenciada por tipo de clave según su exposición y criticidad |
| Aprobado por | CISO |
| Fecha | 2026-03-13 |
4. Revisión de TRAs
| Actividad | Frecuencia |
|---|---|
| Revisión de todos los TRAs existentes | Anual |
| TRA nuevo ante cambio significativo | Según cambio |
| Revisión si cambian amenazas/vulnerabilidades | Según evento |
| Aprobación de cambios en frecuencias | CISO |
Historial de Revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-03-13 | CISO | Documento inicial con 6 TRAs |
Aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| CISO / Oficial de Seguridad | _________________ | _________________ | //____ |
| Gerencia Ejecutiva | _________________ | _________________ | //____ |