La segmentación de red PCI DSS es la práctica de aislar los sistemas que tratan datos de tarjeta del resto de la infraestructura empresarial mediante controles de red físicos o lógicos. No es técnicamente obligatoria según el PCI DSS, pero sin ella toda la red corporativa entra en el perímetro CDE: una condición que hace el cumplimiento prácticamente insostenible para cualquier organización de tamaño medio. Comprender cómo implementarla, cuánto cuesta y cuándo la tokenización es una alternativa más eficiente es fundamental para una estrategia de cumplimiento racional.
Qué es la segmentación de red y por qué el PCI DSS la requiere
Sin segmentación, cualquier sistema conectado a la red corporativa que tenga aunque sea conectividad indirecta con los sistemas de pago forma parte del CDE. Esto significa que las estaciones de trabajo de los departamentos administrativos, los sistemas de videoconferencia, las impresoras de red y los servidores de backup pueden estar todos sujetos a los requisitos PCI DSS si comparten la misma red que los sistemas de pago. El perímetro se expande y los costes de cumplimiento con él.
La segmentación de red resuelve este problema creando una separación nítida entre el CDE y el resto de la red. Mediante firewalls, VLANs, controles de acceso a la red y zonas DMZ, los sistemas de pago se aíslan en un segmento dedicado con accesos estrictamente controlados. Solo los sistemas que tienen una necesidad técnica documentada de comunicarse con el CDE pueden hacerlo, y cada acceso se registra y monitoriza.
Costes y complejidad de una segmentación correcta
Implementar la segmentación de red de forma correcta no es trivial. Requiere firewalls dedicados entre los segmentos, reglas de filtrado granulares, documentación completa de la topología de red, pruebas periódicas de la eficacia de la segmentación (incluyendo la prueba de penetración que verifica que no existen rutas no autorizadas entre los segmentos) y mantenimiento continuo cada vez que se añaden sistemas o se modifican los flujos.
Los costes de una segmentación correcta incluyen: hardware de red dedicado (de 5.000 a 30.000 euros para infraestructuras on-premise), costes de consultoría para el diseño e implementación, costes de mantenimiento y monitorización continua, y costes de pruebas para verificar que la segmentación sea eficaz en el tiempo. En entornos cloud, la segmentación es más flexible pero igualmente requiere un diseño cuidadoso de las VPC, los security groups y las reglas de enrutamiento.
Tokenización como alternativa a la segmentación hardware
La lógica de la segmentación es: aislar el CDE del resto de la red para limitar la superficie de riesgo. La tokenización alcanza el mismo objetivo de forma más radical: en lugar de aislar el CDE, lo elimina casi completamente en el lado del comercio. Si tus sistemas nunca tratan PAN, no tienes un CDE que aislar. La segmentación se vuelve irrelevante porque no hay nada que proteger en tus servidores.
Para las organizaciones que ya han invertido en segmentación de red, la tokenización se añade como segundo nivel de protección: reduce aún más el CDE y simplifica la topología. Para quienes no han implementado todavía la segmentación, adoptar primero la tokenización puede evitar por completo la inversión en infraestructura de red dedicada. El orden de las prioridades depende de la arquitectura existente y del calendario de cumplimiento.
Preguntas frecuentes
¿La segmentación con VLAN es suficiente para PCI DSS?
Las VLANs por sí solas no se consideran suficientes por el PCI DSS si no van acompañadas de firewalls que filtren el tráfico entre los segmentos. Una VLAN sin firewall es una separación lógica que puede sortearse con configuraciones erróneas o ataques de VLAN hopping. El PCI DSS exige que la segmentación sea verificable y comprobada en el penetration test anual.
¿Debo segmentar también el entorno de pruebas?
Sí, si el entorno de pruebas utiliza datos de tarjeta reales. El PCI DSS exige explícitamente que los datos de prueba no sean datos de tarjeta reales, y que los entornos de desarrollo y pruebas estén separados del entorno de producción. Si se sigue esta regla, el entorno de pruebas no entra en el CDE y no necesita segmentación específica.
¿Cuántos firewalls se necesitan para aislar el CDE?
No hay un número fijo: depende de la topología de red y del número de puntos de acceso al CDE. En una arquitectura típica se necesitan al menos un firewall perimetral que separa el CDE de internet y uno que separa el CDE de la red interna. En entornos complejos con múltiples zonas DMZ y múltiples flujos de acceso, el número puede ser mayor. La regla es que todo acceso al CDE debe pasar por un firewall con reglas explícitas.
¿Quieres reducir el alcance PCI sin invertir en infraestructura de segmentación? Descubre PCI Proxy EU.