La segmentación de red PCI DSS es técnicamente opcional, pero en la práctica es la única forma realista de contener el cardholder data environment sin invertir millones en cumplimiento normativo. Sin segmentación, cualquier sistema conectado a la red interna se convierte en parte del CDE PCI DSS y debe cumplir todos los controles previstos por el estándar. El problema real no es decidir si implementarla, sino comprender cuánto cuesta, quién la gestiona y cuándo tiene sentido buscar alternativas.
Segmentación de red PCI DSS: qué exige el requisito
El PCI DSS no impone un método específico de segmentación, pero exige que los sistemas fuera del alcance estén aislados de forma que no puedan influir en la seguridad del CDE. En la práctica, esto significa cortafuegos con reglas documentadas, VLAN dedicadas, listas de control de acceso entre segmentos y verificación anual del aislamiento. El Requisito 11.4.5 del estándar v4.0 exige pruebas de penetración específicas para validar que la segmentación funciona realmente, no solo sobre el papel.
Una arquitectura típica contempla al menos tres zonas: la red pública, la DMZ con los sistemas que reciben datos de tarjeta, y el segmento interno donde residen los sistemas de autorización y las bases de datos. Cada zona requiere reglas de entrada y salida explícitas, registros centralizados y procedimientos de gestión de cambios. En entornos cloud, la segmentación se traduce en VPC dedicadas, grupos de seguridad granulares y control del tráfico este-oeste con herramientas como AWS Network Firewall o Azure Firewall.
Los costes reales de una segmentación correcta
El error más común es subestimar los costes operativos frente a los de implantación. El hardware o las licencias cloud para cortafuegos e IDS de nivel empresarial oscilan entre 15.000 y 60.000 euros para una arquitectura de tamaño medio. A esto se suman las horas de un ingeniero de redes para el diseño, la documentación de las reglas y la gestión de cambios: de media, 20-40 horas al año solo para el mantenimiento ordinario. La prueba de penetración anual sobre la segmentación tiene un coste medio de entre 3.000 y 8.000 euros.
Para las empresas que operan con Kubernetes o entornos de contenedores, los costes aumentan aún más. La microsegmentación del tráfico este-oeste en un clúster requiere herramientas como Calico, Cilium o una service mesh dedicada. La complejidad operativa crece exponencialmente con el número de microservicios que manejan datos sensibles. Un equipo sin especialización en redes seguras corre el riesgo de crear configuraciones que parecen conformes pero no lo son, con graves consecuencias en caso de auditoría o brecha.
Tokenización frente a segmentación: cuándo conviene cada una
La segmentación protege el perímetro que rodea los datos sensibles. La tokenización elimina los datos sensibles del perímetro. Son enfoques complementarios, pero el punto de partida cambia radicalmente la magnitud de las inversiones necesarias. Si el PAN nunca entra en su infraestructura, el CDE se reduce drásticamente y con él los requisitos de segmentación. Los sistemas que antes necesitaban VLAN dedicadas y cortafuegos propios quedan completamente fuera del alcance.
La estrategia de reducción del alcance PCI DSS más eficiente combina ambos enfoques: tokenización para eliminar los datos en origen, segmentación residual para proteger los componentes que gestionan las llamadas API hacia el vault. De este modo, la superficie a proteger con cortafuegos y ACL se reduce a unos pocos endpoints bien definidos en lugar de toda una red corporativa. El resultado es un CDE mínimo, auditorías más rápidas y costes de mantenimiento estructuralmente más bajos.
Preguntas frecuentes
¿La segmentación en cloud es diferente a la on-premise para PCI?
Conceptualmente no, pero las herramientas cambian. En cloud se utilizan VPC, subredes privadas, grupos de seguridad y ACL de red en lugar de VLAN físicas y cortafuegos hardware. El PCI DSS acepta ambos enfoques siempre que el aislamiento esté documentado y probado. La responsabilidad compartida con el proveedor cloud nunca cubre la segmentación aplicativa: esta sigue siendo responsabilidad del comerciante.
¿Puedo usar la segmentación como medida compensatoria?
La segmentación es ya de por sí un control de seguridad, no una medida compensatoria en sentido estricto. Las medidas compensatorias PCI DSS se aplican cuando no es posible cumplir un requisito específico por razones técnicas o de negocio documentadas. Una segmentación robusta puede, sin embargo, reducir el riesgo residual en ausencia de otros controles e influir positivamente en la evaluación del QSA.
¿Cuánto tiempo requiere implementar la segmentación de red?
Para una arquitectura on-premise de tamaño medio, el proyecto típico dura entre 3 y 6 meses, incluyendo diseño, implementación, pruebas y documentación. En cloud los plazos se acortan, pero requieren competencias específicas. El factor crítico no es la configuración inicial sino la gobernanza a lo largo del tiempo: gestión de cambios, revisiones periódicas y pruebas anuales de validación.
¿Quiere reducir el perímetro PCI antes incluso de diseñar la segmentación? Descubra PCI Proxy EU.