La segmentação de red PCI DSS es la práctica de aislar los sistemas que tratan dados de cartão del resto de la infraestrutura empresarial mediante controles de red físicos o lógicos. No es técnicamente obligatoria según el PCI DSS, mas sin ella toda la red corporativa entra en el perímetro CDE: una condição que faz el conformidade prácticamente insostenible para cualquier organização de tamaño medio. Comprender como implementarla, cuánto cuesta e quando la tokenização es una alternativa mais eficiente es fundamental para una estratégia de conformidade racional.
Qué es la segmentação de red e por qué el PCI DSS la exige
Sin segmentação, cualquier sistema conectado a la red corporativa que tenga embora sea conectividade indirecta con los sistemas de pago forma parte del CDE. Esto significa que las estaciones de trabajo de los departamentos administrativos, los sistemas de videoconferencia, las impresoras de red e los servidores de backup podem estar todos sujetos a los requisitos PCI DSS si comparten la misma red que los sistemas de pago. El perímetro se expande e los custos de conformidade con él.
La segmentação de red resolve este problema creando una separação nítida entre el CDE e el resto de la red. Mediante firewalls, VLANs, controles de acceso a la red e zonas DMZ, los sistemas de pago se aíslan en un segmento dedicado con accesos estrictamente controlados. Apenas los sistemas que têm una necesidade técnica documentada de comunicarse con el CDE podem hacerlo, e cada acceso se registra e monitoriza.
Custos e complejidade de una segmentação correcta
Implementar la segmentação de red de forma correcta no es trivial. Exige firewalls dedicados entre los segmentos, reglas de filtrado granulares, documentação completa de la topología de red, testes periódicas de la eficacia de la segmentação (incluyendo la prueba de penetração que verifica que no existen rutas no autorizadas entre los segmentos) e mantenimiento continuo cada vez que se añaden sistemas o se modifican los fluxos.
Los custos de una segmentação correcta incluyen: hardware de red dedicado (de 5.000 a 30.000 euros para infraestructuras on-premise), custos de consultoría para el diseño e implementação, custos de mantenimiento e monitorização continua, e custos de testes para verificar que la segmentação sea eficaz en el tiempo. En ambientes cloud, la segmentação es mais flexible mas igualmente exige un diseño cuidadoso de las VPC, los security groups e las reglas de enrutamiento.
Tokenização como alternativa a la segmentação hardware
La lógica de la segmentação es: aislar el CDE del resto de la red para limitar la superficie de riesgo. La tokenização alcanza el mismo objetivo de forma mais radical: en lugar de aislar el CDE, lo elimina quase completamente en el lado del comércio. Si tus sistemas nunca tratan PAN, no tienes un CDE que aislar. La segmentação se vuelve irrelevante porque no há nada que proteger en tus servidores.
Para las organizaciones que ya han invertido en segmentação de red, la tokenização se añade como segundo nivel de proteção: reduz aún mais el CDE e simplifica la topología. Para quienes no han implementado ainda la segmentação, adoptar primero la tokenização pode evitar por completo la inversión en infraestrutura de red dedicada. El orden de las prioridades depende de la arquitectura existente e del calendario de conformidade.
Preguntas frecuentes
La segmentação con VLAN es suficiente para PCI DSS?
Las VLANs por sí solas no se consideran suficientes por el PCI DSS si no van acompañadas de firewalls que filtren el tráfico entre los segmentos. Una VLAN sin firewall es una separação lógica que pode sortearse con configuraciones erróneas o ataques de VLAN hopping. El PCI DSS exige que la segmentação sea verificable e comprobada en el penetration test anual.
Debo segmentar também el ambiente de testes?
Sí, si el ambiente de testes utiliza dados de cartão reales. El PCI DSS exige explícitamente que los dados de prueba no sean dados de cartão reales, e que los ambientes de desarrollo e testes estén separados del ambiente de producção. Si se sigue esta regla, el ambiente de testes no entra en el CDE e no precisa segmentação específica.
Cuántos firewalls se precisam para aislar el CDE?
No há un número fijo: depende de la topología de red e del número de puntos de acceso al CDE. En una arquitectura típica se precisam al menos un firewall perimetral que separa el CDE de internet e uno que separa el CDE de la red interna. En ambientes complejos con múltiples zonas DMZ e múltiples fluxos de acceso, el número pode ser mayor. La regla es que todo acceso al CDE deve pasar por un firewall con reglas explícitas.
Quieres reduzir el âmbito PCI sin invertir en infraestrutura de segmentação? Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.