La segmentação de red PCI DSS es técnicamente opcional, mas na prática es la única forma realista de contener el ambiente de dados de titulares de cartão sin invertir millones en conformidade normativo. Sin segmentação, cualquier sistema conectado a la red interna se convierte en parte del CDE PCI DSS e deve cumprir todos los controles previstos por el estándar. El problema real no es decidir si implementarla, sino comprender cuánto cuesta, quem la gere e quando tem sentido buscar alternativas.
Segmentação de red PCI DSS: qué exige el requisito
El PCI DSS no impone un método específico de segmentação, mas exige que los sistemas fuera del âmbito estén aislados de forma que no puedan influir en la segurança del CDE. En la práctica, esto significa cortafuegos con reglas documentadas, VLAN dedicadas, listas de control de acceso entre segmentos e verificação anual del aislamiento. El Requisito 11.4.5 del estándar v4.0 exige testes de penetração específicas para validar que la segmentação funciona realmente, no apenas sobre el papel.
Una arquitectura típica contempla al menos tres zonas: la red pública, la DMZ con los sistemas que reciben dados de cartão, e el segmento interno onde residen los sistemas de autorização e las bases de dados. Cada zona exige reglas de entrada e salida explícitas, registros centralizados e procedimientos de gestão de cambios. En ambientes cloud, la segmentação se traduce en VPC dedicadas, grupos de segurança granulares e control del tráfico este-oeste con ferramentas como AWS Network Firewall o Azure Firewall.
Los custos reales de una segmentação correcta
El error mais común es subestimar los custos operativos frente a los de implantação. El hardware o las licencias cloud para cortafuegos e IDS de nivel empresarial oscilan entre 15.000 e 60.000 euros para una arquitectura de tamaño medio. A esto se suman las horas de un ingeniero de redes para el diseño, la documentação de las reglas e la gestão de cambios: de media, 20-40 horas al año apenas para el mantenimiento ordinario. La prueba de penetração anual sobre la segmentação tem un custo medio de entre 3.000 e 8.000 euros.
Para las empresas que operan con Kubernetes o ambientes de contenedores, los custos aumentan aún mais. La microsegmentação del tráfico este-oeste en un clúster exige ferramentas como Calico, Cilium o una service mesh dedicada. La complejidade operativa crece exponencialmente con el número de microservicios que manejan dados sensíveis. Un equipa sin especialização en redes seguras corre el riesgo de crear configuraciones que parecen conformes mas no lo são, con graves consecuencias en caso de auditoría o brecha.
Tokenização frente a segmentação: quando conviene cada una
La segmentação protege el perímetro que rodea los dados sensíveis. La tokenização elimina los dados sensíveis del perímetro. São enfoques complementarios, mas el punto de partida cambia radicalmente la magnitud de las inversiones necesarias. Si el PAN nunca entra en su infraestrutura, el CDE se reduz drásticamente e con él los requisitos de segmentação. Los sistemas que antes necesitaban VLAN dedicadas e cortafuegos propios quedan completamente fuera del âmbito.
La estratégia de reducção del âmbito PCI DSS mais eficiente combina ambos enfoques: tokenização para eliminar los dados en origen, segmentação residual para proteger los componentes que gerem las chamadas API hacia el vault. De este modo, la superficie a proteger con cortafuegos e ACL se reduz a unos pocos endpoints bien definidos en lugar de toda una red corporativa. El resultado es un CDE mínimo, auditorias mais rápidas e custos de mantenimiento estructuralmente mais bajos.
Preguntas frecuentes
La segmentação en cloud es diferente a la on-premise para PCI?
Conceptualmente no, mas las ferramentas cambian. En cloud se utilizan VPC, subredes privadas, grupos de segurança e ACL de red en lugar de VLAN físicas e cortafuegos hardware. El PCI DSS acepta ambos enfoques sempre que el aislamiento esté documentado e probado. La responsabilidade compartida con el fornecedor cloud nunca cubre la segmentação aplicativa: esta sigue siendo responsabilidade del comerciante.
Puedo usar la segmentação como medida compensatoria?
La segmentação es ya de por sí un control de segurança, no una medida compensatoria en sentido estricto. Las medidas compensatorias PCI DSS se aplican quando no es posible cumprir un requisito específico por razones técnicas o de negocio documentadas. Una segmentação robusta pode, sin embargo, reduzir el riesgo residual en ausencia de otros controles e influir positivamente en la evaluação del QSA.
Cuánto tiempo exige implementar la segmentação de red?
Para una arquitectura on-premise de tamaño medio, el proyecto típico dura entre 3 e 6 meses, incluyendo diseño, implementação, testes e documentação. En cloud los prazos se acortan, mas exigem competencias específicas. El factor crítico no es la configuração inicial sino la gobernanza a lo largo del tiempo: gestão de cambios, revisiones periódicas e testes anuales de validação.
Quiere reduzir el perímetro PCI antes incluso de diseñar la segmentação? Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.