En un entorno local, el enfoque de SABSA y TOGAF cambia drásticamente hacia el control físico del centro de datos, la segmentación estricta de redes cableadas y la gestión de infraestructura propia.
La Matriz de Trazabilidad Personalizada para una compañía de seguros que opera con infraestructura On-Premise (Local), diseñada específicamente para cumplir de forma simultánea con PCI-DSS (v4.0) (para el procesamiento de pagos de primas) e ISO/IEC 27001:2022 (para el Sistema de Gestión de Seguridad de la Información).
Matriz de Trazabilidad On-Premise (PCI-DSS + ISO 27001)
| Objetivo del Negocio / Cumplimiento [1, 2, 3] | Capa SABSA | Fase TOGAF | Atributo de Negocio | Solución Técnica e Infraestructura On-Premise | Control de Referencia |
|---|---|---|---|---|---|
| 1. Proteger el entorno de datos de tarjetas (CDE) al cobrar pólizas recurrentes. | Contextual | Fase B: Arquitectura de Negocio | Aislamiento y Confidencialidad | Segmentación estricta de la red local mediante VLANs e Firewalls internos de próxima generación (NGFW). Ningún servidor general toca la red de pagos. | PCI-DSS: Req. 1.2 ISO 27001: A.8.20 (Seguridad de redes) |
| 2. Restringir el acceso físico a los servidores locales que alojan los datos de los asegurados. | Conceptual | Fase D: Arquitectura Tecnológica | Custodia Física y Trazabilidad | Centro de datos propio con control de acceso biométrico, jaulas cerradas, circuito cerrado de televisión (CCTV) retenido por 90 días y registros de entrada manuales. | PCI-DSS: Req. 9.1 y 9.2 ISO 27001: A.7.4 (Seguridad física) |
| 3. Controlar los accesos lógicos de los administradores de sistemas a las bases de datos de seguros. | Lógica | Fase C: Arquitectura de Datos / Apps | Mínimo Privilegio y Responsabilidad | Integración de Active Directory local con una solución PAM (Privileged Access Management). Doble factor de autenticación obligatorio (MFA) para switches y servidores. | PCI-DSS: Req. 7.1 y 8.3 ISO 27001: A.8.2 (Derechos de acceso) |
| 4. Monitorear y registrar todos los eventos de la red interna para detectar intrusiones de forma temprana. | Física | Fase D: Arquitectura Tecnológica | Auditable y Vigilancia Continua | Despliegue de un SIEM local en el centro de datos. Centralización y sincronización de relojes (NTP) de todos los logs de servidores, firewalls y bases de datos. | PCI-DSS: Req. 10.1 y 10.2 ISO 27001: A.8.15 (Registro de eventos) |
| 5. Mantener los servidores locales protegidos contra vulnerabilidades conocidas y malware. | Componentes | Fase E/F: Soluciones / Migración | Integridad de Plataforma | Escáneres de vulnerabilidades internos trimestrales, herramientas de protección de endpoints (EDR) locales y una ventana mensual de parcheo de sistemas operativos. | PCI-DSS: Req. 5.1 y 11.3 ISO 27001: A.8.8 (Gestión de vuln.) |
Puntos clave de la adopción On-Premise:
- El perímetro es tuyo: A diferencia de la nube, en el entorno local tú eres responsable del hardware. Los atributos SABSA como Custodia Física se vuelven críticos en la Fase D de TOGAF.
- Reducción del alcance (Scope Reduction): La segmentación mediante firewalls físicos (Fila 1) es vital. Si logras aislar las máquinas que procesan los pagos del resto de los servidores de la aseguradora, reducirás drásticamente el costo y el tiempo de la auditoría PCI-DSS.
0 Comentarios