Capítulo 12 - Cumplimiento Normativo

El sistema bancario debe cumplir con múltiples regulaciones internacionales y locales para garantizar la seguridad de la información, privacidad de datos y operaciones financieras. La arquitectura propuesta integra el cumplimiento normativo desde el diseño (Compliance by Design).

Normativa	Ámbito	Objetivo Principal	Aplicación
ISO 27001	Internacional	Sistema de Gestión de Seguridad de la Información	Obligatorio
ISO 9001	Internacional	Sistema de Gestión de la Calidad	Recomendado
ISO 27002	Internacional	Guía de Controles de Seguridad	Complementario
ISO 27701	Internacional	Sistema de Gestión de Privacidad	Obligatorio
GDPR	Unión Europea	Protección de Datos Personales	Si hay usuarios EU
GLBA	Estados Unidos	Protección de Información Financiera	Si opera en USA
PCI DSS	Internacional	Seguridad de Datos de Tarjetas	Obligatorio
SOX	Estados Unidos	Controles Financieros y Auditoría	Si cotiza en USA

12.2.1 Controles Implementados

Control ISO 27001	Requisito	Implementación en Arquitectura
A.9 Control de Acceso	Acceso basado en privilegios mínimos	OAuth 2.0 + RBAC + MFA obligatorio
A.10 Criptografía	Protección de datos en tránsito y reposo	TLS 1.3 + AES-256-GCM + Vault
A.12 Seguridad Operaciones	Monitoreo y logs de auditoría	ELK Stack + Prometheus + Grafana 24/7
A.14 Adquisición Segura	Validación de proveedores	Cloud providers certificados ISO 27001
A.16 Gestión de Incidentes	Respuesta a incidentes de seguridad	Runbooks documentados + equipo on-call
A.17 Continuidad	Plan de continuidad de negocio	Backups automáticos + DR Plan + HA 99.9%
A.18 Cumplimiento	Auditorías regulares	Auditorías trimestrales internas + anual externa

12.2.2 Evidencias Documentales

Documentación Requerida:

Política de Seguridad: Documento actualizado anualmente con aprobación ejecutiva
Matriz de Riesgos: Evaluación de amenazas y controles implementados
Procedimientos Operativos: Guías detalladas para operaciones críticas
Registros de Auditoría: Logs almacenados mínimo 7 años en Elasticsearch
Plan de Continuidad (BCP): Procedimientos para escenarios de desastre
Revisiones de Acceso: Trimestrales de todos los permisos de usuario

12.3.1 Controles de Privacidad Implementados

Principio	Requisito	Implementación Técnica
Minimización de Datos	Solo recopilar datos necesarios	Validación en formularios + esquemas GraphQL estrictos
Propósito Limitado	Usar datos solo para fin declarado	Consent management system + audit logs
Precisión de Datos	Datos actuales y correctos	API /update-profile + validación regular
Limitación Almacenamiento	Retención según necesidad	Políticas de lifecycle en S3 + Elasticsearch ILM
Seguridad	Protección contra acceso no autorizado	Defense in Depth + cifrado multicapa

12.3.2 Derechos del Titular de Datos

Portal de Derechos del Usuario

┌────────────────────────────────────────────────────┐
│         PORTAL DE PRIVACIDAD (Self-Service)        │
├────────────────────────────────────────────────────┤
│                                                    │
│  1. Derecho de Acceso                              │
│     ├─► GET /api/v1/my-data                        │
│     ├─► Exportar datos en JSON/PDF                 │
│     └─► Respuesta: < 24 horas                      │
│                                                    │
│  2. Derecho de Rectificación                       │
│     ├─► PUT /api/v1/update-profile                 │
│     ├─► Actualización inmediata                    │
│     └─► Notificación de cambios                    │
│                                                    │
│  3. Derecho de Portabilidad                        │
│     ├─► GET /api/v1/export-data                    │
│     ├─► Formato: JSON estructurado                 │
│     └─► Descarga directa                           │
│                                                    │
│  4. Derecho al Olvido (RTBF)                       │
│     ├─► DELETE /api/v1/request-deletion            │
│     ├─► Anonimización de datos                     │
│     ├─► Respuesta: < 30 días                       │
│     └─► Excepciones: obligaciones legales          │
│                                                    │
│  5. Derecho de Restricción                         │
│     ├─► POST /api/v1/restrict-processing           │
│     └─► Bloqueo temporal de uso de datos           │
│                                                    │
└────────────────────────────────────────────────────┘

12.4.1 Requisitos Clave y Cumplimiento

Requisito GDPR	Descripción	Implementación	Evidencia
Base Legal (Art. 6)	Justificación para procesar datos	Consentimiento explícito en onboarding	Registro de consent en BD
Notificación Brechas (Art. 33)	Reportar brechas en 72 horas	Incident Response Plan automatizado	Runbooks + alertas PagerDuty
Privacy by Design (Art. 25)	Privacidad desde arquitectura	Pseudonimización + cifrado + minimización	Diagramas de arquitectura
DPO (Art. 37)	Data Protection Officer designado	Contacto DPO publicado en website	Certificado de nombramiento
DPIA (Art. 35)	Evaluación de impacto en privacidad	DPIA realizada y documentada	Documento DPIA aprobado
Transferencias (Art. 44-50)	Solo a países con adecuación	Cloud en EU o cláusulas contractuales	Contrato con cloud provider

12.4.2 Arquitectura de Cumplimiento GDPR

Sistema de Gestión de Consentimiento

┌─────────────────────────────────────────────────────┐
│            CONSENT MANAGEMENT SYSTEM                │
├─────────────────────────────────────────────────────┤
│                                                     │
│  ┌───────────────────────────────────────────┐     │
│  │  Consent Database (PostgreSQL)            │     │
│  │  ────────────────────────────────         │     │
│  │  user_id | purpose | granted | timestamp  │     │
│  │  ──────────────────────────────────────   │     │
│  │  12345   | marketing | false | 2025-10-01│     │
│  │  12345   | analytics | true  | 2025-10-01│     │
│  │  12345   | mandatory | true  | 2025-10-01│     │
│  └───────────────────────────────────────────┘     │
│                                                     │
│  Funcionalidades:                                   │
│  ├─► Tracking de consentimientos por propósito     │
│  ├─► Audit trail completo de cambios               │
│  ├─► Revocación en tiempo real                     │
│  ├─► Renovación periódica (cada 2 años)            │
│  └─► Integración con todos los microservicios      │
│                                                     │
└─────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────┐
│       DATA SUBJECT RIGHTS AUTOMATION                │
├─────────────────────────────────────────────────────┤
│                                                     │
│  Solicitud RTBF (Right to be Forgotten):            │
│  ───────────────────────────────────────            │
│  1. Usuario solicita borrado                        │
│  2. Validación de identidad                         │
│  3. Verificación de excepciones legales             │
│  4. Anonimización de datos en todas las BDs         │
│  5. Notificación a terceros (si aplica)             │
│  6. Confirmación al usuario                         │
│  7. Registro en audit log                           │
│                                                     │
│  Tiempo de respuesta: < 30 días                     │
│                                                     │
└─────────────────────────────────────────────────────┘

Obligaciones Críticas GDPR:

Notificación de Brechas: Máximo 72 horas a la autoridad de protección de datos
Multas: Hasta 20 millones EUR o 4% del revenue global anual (lo que sea mayor)
Consentimiento: Debe ser libre, específico, informado e inequívoco
Menores: Consentimiento parental requerido para menores de 16 años

12.5.1 Tres Reglas Principales

Regla GLBA	Requisito	Implementación
Financial Privacy Rule	Notificar prácticas de privacidad	• Annual privacy notice a todos los clientes • Explicar qué datos se comparten • Opt-out mechanism para compartir
Safeguards Rule	Proteger información financiera	• Cifrado AES-256 para datos financieros • Acceso restringido con MFA • Monitoreo de accesos sospechosos • Security awareness training
Pretexting Provisions	Proteger contra obtención fraudulenta	• Verificación de identidad en llamadas • Bloqueo tras múltiples intentos fallidos • Notificación de actividad sospechosa

12.5.2 Programa de Seguridad Requerido

Elementos del Information Security Program:

Designar Coordinador: CISO o equivalente responsable del programa
Identificar Riesgos: Risk assessment anual de amenazas
Diseñar Salvaguardas: Controles técnicos, físicos y administrativos
Implementar Programa: Deployment de controles de seguridad
Monitorear Efectividad: Testing continuo y auditorías
Vendor Management: Due diligence de terceros que procesan datos
Actualizar Programa: Revisión continua basada en cambios

12.6.1 Los 12 Requisitos PCI DSS

Requisito PCI DSS	Descripción	Implementación en Arquitectura
1. Firewall	Proteger datos del titular	WAF Cloudflare + Network Policies K8s
2. Contraseñas	No usar defaults de proveedor	Secretos únicos en Vault + rotación 90 días
3. Proteger Datos Almacenados	Cifrar cardholder data	AES-256-GCM + tokenización de tarjetas
4. Cifrar Transmisión	Cifrado en redes públicas	TLS 1.3 obligatorio en todas las APIs
5. Antivirus	Proteger contra malware	ClamAV en contenedores + scanning de imágenes
6. Sistemas Seguros	Mantener sistemas actualizados	Hardened Docker images + patching automático
7. Acceso por Need-to-Know	Restringir acceso a datos	RBAC estricto + least privilege
8. Identificación Única	ID único por usuario	OAuth 2.0 + MFA obligatorio
9. Acceso Físico	Restringir acceso físico	Cloud datacenter certificado PCI DSS
10. Logs de Acceso	Rastrear todos los accesos	ELK Stack + retención 1 año mínimo
11. Testing de Seguridad	Escaneos regulares	ASV scans trimestrales + pentest anual
12. Política de Seguridad	Mantener política documentada	Documento actualizado anualmente

12.6.2 Cardholder Data Environment (CDE)

Segmentación del CDE

┌─────────────────────────────────────────────────────┐
│          SISTEMA BANCARIO - SEGMENTACIÓN            │
├─────────────────────────────────────────────────────┤
│                                                     │
│  ┌───────────────────────────────────────────┐     │
│  │   CARDHOLDER DATA ENVIRONMENT (CDE)       │     │
│  │   ───────────────────────────────────     │     │
│  │                                           │     │
│  │   ┌─────────────────────────────────┐     │     │
│  │   │  MS-Pagos-Tarjetas              │     │     │
│  │   │  (Microservicio aislado)        │     │     │
│  │   │  ─────────────────────────      │     │     │
│  │   │  • Tokenización de tarjetas     │     │     │
│  │   │  • NUNCA almacena PAN completo  │     │     │
│  │   │  • NUNCA almacena CVV           │     │     │
│  │   │  • Logs cifrados                │     │     │
│  │   │  • Red privada aislada          │     │     │
│  │   └─────────────────────────────────┘     │     │
│  │                                           │     │
│  │   Network Policy: Deny All por defecto    │     │
│  │   Solo permite:                           │     │
│  │   ├─► API Gateway (puerto 443)            │     │
│  │   ├─► Payment Gateway externo             │     │
│  │   └─► Vault (secretos)                    │     │
│  │                                           │     │
│  └───────────────────────────────────────────┘     │
│                                                     │
│  ┌───────────────────────────────────────────┐     │
│  │   NON-CDE (Resto del Sistema)             │     │
│  │   ──────────────────────────────────      │     │
│  │                                           │     │
│  │   • MS-Históricos                         │     │
│  │   • MS-Datos-Cliente                      │     │
│  │   • MS-Autenticación                      │     │
│  │   • MS-Notificaciones                     │     │
│  │                                           │     │
│  │   Solo interactúan con CDE vía tokens     │     │
│  │                                           │     │
│  └───────────────────────────────────────────┘     │
│                                                     │
└─────────────────────────────────────────────────────┘

12.6.3 Tokenización de Tarjetas

Estrategia de Tokenización

Para cumplir PCI DSS Requirement 3 (Proteger datos almacenados), se implementa tokenización:

PAN (Primary Account Number): Nunca se almacena completo en el sistema
Token: ID único que reemplaza el PAN (ejemplo: tok_1A2B3C4D5E6F)
Vault de Tokens: Proveedor externo certificado PCI DSS Level 1
CVV: NUNCA se almacena post-autorización (prohibited by PCI DSS)
Retención: Solo últimos 4 dígitos para identificación visual

12.6.4 Calendario de Cumplimiento PCI DSS

Actividad	Frecuencia	Responsable	Entregable
ASV Scan	Trimestral	Approved Scanning Vendor	Reporte de vulnerabilidades
Penetration Test	Anual	QSA o Internal Team	Informe de pentesting
Self-Assessment (SAQ)	Anual	Internal Security Team	SAQ completado
Revisión de Logs	Diaria	SOC Team	Dashboard Kibana
Revisión de Accesos	Trimestral	Security Team	Lista de accesos aprobada

Si BP cotiza en bolsas de Estados Unidos, debe cumplir SOX (Sarbanes-Oxley Act), que exige controles internos sobre reportes financieros.

12.7.1 Controles SOX Relevantes

Control SOX	Requisito	Implementación IT
Segregación de Funciones	Separar roles incompatibles	RBAC con roles separados (Dev ≠ Prod)
Change Management	Control de cambios documentado	CI/CD con aprobaciones + Git audit trail
Auditoría de Accesos	Logs de quién accedió qué	ELK Stack + retención 7 años
Backup y Recovery	Capacidad de recuperación de datos	Backups diarios + PITR + DR tested
Integridad de Datos	Datos financieros no alterables	Event Sourcing + inmutabilidad en audit logs

Normativa	Aspecto Clave	Evidencia en Arquitectura	Auditoría
ISO 27001	SGSI completo	WAF, Vault, cifrado, RBAC, auditoría	Anual externa
ISO 9001	Calidad de procesos	Documentación, métricas SLA, CI/CD	Anual externa
ISO 27002	Controles detallados	114 controles implementados	Complemento ISO 27001
ISO 27701	Privacidad	Portal derechos, minimización, consent	Anual externa
GDPR	Protección datos EU	Consentimiento, DPO, RTBF, DPIA	Si breach o queja
GLBA	Finanzas USA	Privacy notices, safeguards, pretexting	Federal regulators
PCI DSS	Datos de tarjetas	Tokenización, CDE segmentado, cifrado	Trimestral ASV + Anual QSA
SOX	Controles financieros	Segregation duties, change mgmt, audit	Anual (si cotiza USA)

12.9.1 Calendario de Auditorías

Tipo de Auditoría	Frecuencia	Auditor	Duración
Interna Compliance	Trimestral	Equipo interno	1 semana
Externa ISO 27001	Anual	Certificadora acreditada	2 semanas
PCI DSS QSA	Anual	Qualified Security Assessor	1-2 semanas
Penetration Testing	Trimestral	Empresa seguridad externa	1 semana
ASV Scan (PCI DSS)	Trimestral	Approved Scanning Vendor	2-3 días

12.9.2 Registro Inmutable de Auditoría

Todos los eventos relevantes para compliance se almacenan en Elasticsearch con las siguientes características:

Campos de Audit Log:

User ID: Usuario que ejecutó la acción
Timestamp: Fecha y hora precisa (UTC)
Action: Tipo de operación (CREATE, READ, UPDATE, DELETE)
Resource: Entidad afectada (Account, Transaction, User)
Resource ID: Identificador de la entidad
IP Address: IP de origen
User Agent: Navegador/dispositivo
Result: Éxito o fallo de la operación
Reason: Justificación de negocio (cuando aplique)
Metadata: Datos adicionales relevantes (JSON)

Retención de Logs por Normativa:

PCI DSS: Mínimo 1 año, 3 meses online
GDPR: Solo mientras sea necesario (típicamente 2 años)
GLBA: 3 años mínimo
ISO 27001: 7 años recomendado
Decisión de Arquitectura: 7 años (cumple todas las normativas)

12.10.1 Inversión Estimada

Concepto	Costo Anual (USD)	Frecuencia
Auditoría ISO 27001	$15,000 - $25,000	Anual
Auditoría PCI DSS QSA	$20,000 - $50,000	Anual
ASV Scans (PCI DSS)	$5,000 - $10,000	Trimestral
Penetration Testing	$15,000 - $30,000	Trimestral
DPO / Compliance Officer	$80,000 - $120,000	Salario anual
Security Training	$10,000 - $20,000	Anual
Herramientas Compliance	$20,000 - $40,000	Anual (licencias)
TOTAL	$165,000 - $295,000	Primer año

Nota: Los costos disminuyen en años subsiguientes (~40-50% menos) una vez establecido el programa de compliance.