Ticker

6/recent/ticker-posts

Matriz de Trazabilidad de Arquitectura Segura On-Premise (PCI-DSS + ISO 27001) según SABSA


En un entorno local, el enfoque de SABSA y TOGAF cambia drásticamente hacia el control físico del centro de datos, la segmentación estricta de redes cableadas y la gestión de infraestructura propia.

La Matriz de Trazabilidad Personalizada para una compañía de seguros que opera con infraestructura On-Premise (Local), diseñada específicamente para cumplir de forma simultánea con PCI-DSS (v4.0) (para el procesamiento de pagos de primas) e ISO/IEC 27001:2022 (para el Sistema de Gestión de Seguridad de la Información).


Matriz de Trazabilidad On-Premise (PCI-DSS + ISO 27001)

Objetivo del Negocio / Cumplimiento [1, 2, 3]Capa SABSAFase TOGAFAtributo de NegocioSolución Técnica e Infraestructura On-PremiseControl de Referencia
1. Proteger el entorno de datos de tarjetas (CDE) al cobrar pólizas recurrentes.ContextualFase B: Arquitectura de NegocioAislamiento y ConfidencialidadSegmentación estricta de la red local mediante VLANs e Firewalls internos de próxima generación (NGFW). Ningún servidor general toca la red de pagos.PCI-DSS: Req. 1.2
ISO 27001: A.8.20 (Seguridad de redes)
2. Restringir el acceso físico a los servidores locales que alojan los datos de los asegurados.ConceptualFase D: Arquitectura TecnológicaCustodia Física y TrazabilidadCentro de datos propio con control de acceso biométrico, jaulas cerradas, circuito cerrado de televisión (CCTV) retenido por 90 días y registros de entrada manuales.PCI-DSS: Req. 9.1 y 9.2
ISO 27001: A.7.4 (Seguridad física)
3. Controlar los accesos lógicos de los administradores de sistemas a las bases de datos de seguros.LógicaFase C: Arquitectura de Datos / AppsMínimo Privilegio y ResponsabilidadIntegración de Active Directory local con una solución PAM (Privileged Access Management). Doble factor de autenticación obligatorio (MFA) para switches y servidores.PCI-DSS: Req. 7.1 y 8.3
ISO 27001: A.8.2 (Derechos de acceso)
4. Monitorear y registrar todos los eventos de la red interna para detectar intrusiones de forma temprana.FísicaFase D: Arquitectura TecnológicaAuditable y Vigilancia ContinuaDespliegue de un SIEM local en el centro de datos. Centralización y sincronización de relojes (NTP) de todos los logs de servidores, firewalls y bases de datos.PCI-DSS: Req. 10.1 y 10.2
ISO 27001: A.8.15 (Registro de eventos)
5. Mantener los servidores locales protegidos contra vulnerabilidades conocidas y malware.ComponentesFase E/F: Soluciones / MigraciónIntegridad de PlataformaEscáneres de vulnerabilidades internos trimestrales, herramientas de protección de endpoints (EDR) locales y una ventana mensual de parcheo de sistemas operativos.PCI-DSS: Req. 5.1 y 11.3
ISO 27001: A.8.8 (Gestión de vuln.)
Elaboración propia: Matriz de trazabilidad On-Premise

Puntos clave de la adopción On-Premise:

  • El perímetro es tuyo: A diferencia de la nube, en el entorno local tú eres responsable del hardware. Los atributos SABSA como Custodia Física se vuelven críticos en la Fase D de TOGAF.
  • Reducción del alcance (Scope Reduction): La segmentación mediante firewalls físicos (Fila 1) es vital. Si logras aislar las máquinas que procesan los pagos del resto de los servidores de la aseguradora, reducirás drásticamente el costo y el tiempo de la auditoría PCI-DSS.

Referencia:

Publicar un comentario

0 Comentarios