Saltar al contenido principal Saltar a navegación Saltar al pie de página
Tiempo limitado: Programa Design Partner. Plan BUSINESS gratis de por vida.

Cumplimiento de PCI DSS

Cómo Rediacc cumple con los requisitos de PCI DSS: copias de seguridad inmutables, aislamiento automático de red y control de acceso a nivel de infraestructura.

Mira, PCI DSS v4.0.1. no es opcional si manejas datos de titular de tarjeta. La versión 4.0.1. se reduce a un requisito: aislamiento a nivel de infraestructura de todo lo demás.

Referencia: PCI Security Standards Council

Mapeo de requisitos

Requisito PCI DSSDescripciónCapacidad de Rediacc
Req 1, Controles de seguridad de redInstalar y mantener controles de seguridad de redReglas iptables por repositorio bloquean todo tráfico entre repositorios. Cada repositorio obtiene su propia subred de IP loopback (/26).
Req 2, Configuraciones segurasAplicar configuraciones seguras a todos los componentes del sistemaLos hooks del ciclo de vida de Rediaccfile imponen configuraciones determinísticas y reproducibles. Sin credenciales predeterminadas. Las claves LUKS las genera el operador.
Req 3, Proteger datos almacenadosProteger datos de cuenta almacenados con cifradoCifrado LUKS2 AES-256 en todos los volúmenes de repositorios. El cifrado es obligatorio, no opcional. Eliminación criptográfica vía destrucción de clave LUKS.
Req 4, Proteger datos en tránsitoProteger datos del titular con criptografía fuerte durante la transmisiónTodas las operaciones remotas por SSH. Transporte de respaldo cifrado de extremo a extremo. Sin rutas de datos sin cifrar.
Req 6, Desarrollo seguroDesarrollar y mantener sistemas y software segurosLa clonación CoW crea entornos de prueba aislados sin exponer datos de tarjetas de producción a redes de desarrollo. Flujo de trabajo fork-test-promote.
Req 7, Restringir accesoRestringir acceso a componentes del sistema y datos del titular por necesidad de negocioSockets de Docker daemon por repositorio. El acceso a un repositorio no otorga acceso a otro. Autenticación basada en clave SSH.
Req 8, Identificar usuarios y autenticarIdentificar usuarios y autenticar acceso a componentes del sistemaAutenticación por clave SSH. Tokens API con vinculación IP y permisos de alcance definido. Autenticación de dos factores (TOTP).
Req 9, Restringir acceso físicoRestringir acceso físico a datos del titular de tarjetasAutoalojado: la seguridad física está bajo tu control directo. El cifrado LUKS hace ilegibles los discos robados.
Req 10, Registrar y monitorearRegistrar y monitorear todo acceso a componentes del sistema y datos del titularMás de 70 tipos de eventos (autenticación, tokens API, configuración, licencias, operaciones de máquina). Panel de administración y portal con filtrado por usuario, equipo, tipo y fecha. CLI rdc audit para exportación programática. Operaciones de máquina también en registros del sistema para defensa en profundidad.
Req 12, Políticas organizacionalesApoyar la seguridad de la información con políticas y programas organizacionalesEl autoalojamiento elimina el alcance del procesador tercero (Req 12.8). Reduce el perímetro de cumplimiento PCI DSS.

Segmentación de red

PCI DSS enfatiza mucho la segmentación. Veo constantemente que los equipos superponen reglas iptables sobre aislamiento insuficiente. Eso no funciona. Los equipos que pasan tienen segmentación integrada en la arquitectura. Rediacc te da eso por defecto:

  • Cada repositorio se ejecuta en su propio Docker daemon en /var/run/rediacc/docker-<networkId>.sock
  • Los repositorios tienen subredes de IP loopback aisladas (127.0.x.x/26, 61 IPs utilizables por red)
  • Las reglas iptables aplicadas por renet bloquean todo tráfico entre daemons
  • Los contenedores de diferentes repositorios no pueden comunicarse a nivel de red

Un repositorio de procesamiento de pagos se ejecuta en su propio Docker daemon y su propia subred loopback, aislado de red de todas las demás aplicaciones en la misma máquina. No hay reglas de firewall adicionales que escribir.

Reducción de alcance

Rediacc autoalojado reduce el alcance de cumplimiento. No necesitas configurar manualmente la segmentación de red; es automática por diseño. Nuestra documentación para esta parte aún necesita trabajo, pero el aislamiento es sólido.

  • Sin proveedor de nube tercero en el flujo de datos del titular
  • Sin proveedor SaaS que evaluar bajo Req 12.8 (proveedores de servicio terceros)
  • Controles de seguridad física bajo tu gestión directa
  • Claves de cifrado almacenadas solo en la configuración local del operador

Casos de aplicación

La mayoría de los fallos de auditoría PCI se reducen a una de dos cosas: segmentación que nunca fue aislada adecuadamente, o cifrado que nunca fue probado contra ataques reales.