top of page

PCI DSS Nivel 1 en 5 meses: Cómo lo logramos en tiempo récord 🚀

Foto del escritor: Santiago BarclaySantiago Barclay
13 feb8 Min. de lectura

La misión imposible (que hicimos posible)

Cuando dijimos que íbamos a conseguir la certificación PCI DSS Nivel 1 en menos de medio año, nos dijeron que era imposible. Hoy les contamos cómo lo hicimos realidad

En el mundo de los pagos, la certificación PCI DSS Nivel 1 es el estándar más alto en seguridad para procesadores de tarjetas. Normalmente, obtenerla toma entre 9 y 18 meses. En Akua, lo hicimos en 5 meses.

Sí, tres veces más rápido que el promedio de la industria.

Para algunos, eso suena imposible. Para nosotros, fue una decisión estratégica: no solo queríamos construir un procesador de pagos cloud-native, sino que queríamos hacerlo con seguridad de nivel enterprise desde el primer día.


Este es el playbook de cómo lo hicimos y por qué mover rápido no significa sacrificar seguridad.

Industria

Akua

18 meses

5 meses

Manual

Automatizado

Waterfall

Ágil


¿Nuestro secreto? Una combinación de estrategia ágil, tecnología de punta y un equipo que cree en la velocidad como ventaja competitiva.


📌 ¿Qué es PCI DSS y por qué importa?


El Payment Card Industry Data Security Standard (PCI DSS) es un conjunto de requisitos globales para proteger los datos de tarjetas y prevenir fraudes.

El Nivel 1 es el más alto y se requiere para empresas que procesan más de 6 millones de transacciones al año. Pero en Akua decidimos certificarnos desde el inicio, porque la seguridad no es un add-on, es el core de nuestra arquitectura.

¿Por qué? Porque ser rápidos y seguros no es una contradicción. Es un modelo de ejecución.


¿Por qué PCI DSS Nivel 1 desde el día 1?


PCI DSS (Payment Card Industry Data Security Standard) es la certificación que garantiza que una empresa cumple con los más altos estándares de seguridad en el manejo de datos de tarjetas.


El Nivel 1 suele estar reservado para empresas que procesan más de 6 millones de transacciones al año. Pero en Akua no nos conformamos con un nivel más bajo: queríamos demostrar, desde el inicio, el nivel de confianza, seguridad y robustez que nuestra tecnología ofrece.


Cómo lo logramos en 5 meses y no en 18


Los enfoques tradicionales en PCI son lentos, burocráticos y poco eficientes. Nosotros hicimos las cosas diferente.


En lugar de esperar a tener todo listo para comenzar la certificación, incorporamos el cumplimiento en nuestro ADN desde el inicio. Usamos un ciclo de trabajo iterativo que nos permitió ir asegurando la plataforma a medida que la construíamos.

1️⃣ Diseño ágil: Cada semana seleccionábamos entre 10 y 20 controles PCI, diseñando las políticas y procedimientos.

2️⃣ Validación temprana: Enviábamos el diseño a los auditores desde el inicio para evitar retrabajos.

3️⃣ Implementación en tiempo real: Levantábamos firewalls, aplicábamos criptografía, configurábamos alertas.

4️⃣ Auditoría continua: Cada nuevo control se certificaba en tiempo real, en lugar de esperar al final.


Este método nos permitió reducir drásticamente el tiempo de certificación sin sacrificar seguridad.

El acompañamiento del equipo de A2Secure y particularmente de nuestro QSA Guillem Cuesta fue muy valioso en este proceso.


Gestión de gobierno, riesgo y cumplimiento


PCI no es el único framework con el que trabajamos. También trabajamos con ISO27001, SOC 2 y GDPR entre otros. De entrada supimos que usar planillas de excel no era una buena idea. Luego de revisar varias alternativas, decidimos avanzar con Vanta. Esta se convirtió en nuestra plataforma central de GRC, proporcionando:


  • Tests automáticos: Vanta se integra mediante APIs con las distintas herramientas de seguridad que implementamos como Cloudflare, Google Workspace y AWS, para verificar automáticamente las correctas configuraciones al mismo tiempo que genera la evidencia necesaria para los auditores.

  • Gestión de proveedores: La gestión del inventario de proveedores es crítica para mantener una postura de seguridad robusta. Vanta nos permite mantener un catálogo actualizado de todos nuestros proveedores, clasificándolos según su nivel de riesgo y tipo de acceso a datos sensibles. La plataforma automatiza el seguimiento de sus certificaciones de seguridad, mecanismos de autenticación implementados y fechas de revisión de controles. 

  • Seguimiento de controles: Vanta trae todos los controles de cada framework precargados y permite seguir su estado, los riesgos relacionados, y perseguir con notificaciones de Slack a los owners de cada control si alguno llega a fallar.

  • Capacitaciones: Mantener al equipo capacitado es muy importante. En Akua lo hacemos de forma automática con videos de formación sobre seguridad listos para usar, background checks y flujos de trabajo claros para el onboarding y offboarding.

  • Gestión de riesgos: La plataforma proporciona un framework completo para la gestión de riesgos, permitiendo su identificación, evaluación y seguimiento de manera centralizada. Cada riesgo puede ser asignado a un owner, establecer planes de remediación, y vincularlos directamente con controles específicos de PCI y con tareas pendientes de Jira. Las integraciones con Slack también permiten mantener al equipo actualizado sobre cambios en el estado de los riesgos y fechas límite de remediación.


Todas estas funcionalidades nos permitieron mantener una metodología de trabajo ordenada, escalable, ágil, dando visibilidad completa al C-Level mediante dashboards, y a stakeholders externos mediante el trust center disponible en https://trust.akua.la


La diferencia de PCI DSS


No les vamos a explicar toda la arquitectura de seguridad de Akua (tal vez lo haremos más adelante), por eso en esta sección haremos hincapié en las particularidades de PCI.


A diferencia de ISO 27001 o SOC 2, PCI DSS tiene requerimientos muy específicos para la protección de datos de tarjetas. Esto incluye:

  • Segmentación de red rigurosa (Sección 1)

  • Hardening y gestión agresiva de vulnerabilidades (Sección 2 y 11)

  • Controles criptográficos estrictos (Sección 3)

  • Monitoreo continuo (Sección 10)

El resto más o menos coincide con lo que piden los demás frameworks. Veamos cómo implementamos estos requerimientos en Akua.


Segmentación


AWS en su whitepaper Architecting for PCI DSS Scoping and Segmentation on AWS recomienda crear una OU y cuentas dedicadas para separar las cargas de trabajo que procesan, almacenan o transmiten datos de tarjetas de las que no.


Nosotros decidimos armar nuestro propio camino, y determinar que todo va a estar en scope PCI. Una sola cuenta de AWS para Producción 🤯


Esta decisión nos forzó a mantener un estándar de seguridad fenomenal para toda la empresa. Todas las personas, procesos, tecnologías y repositorios están en el alcance de la auditoría PCI.


¿Eso significa que tienen una red plana entonces?¿Están locos?


Inconcebible algo así con German Yepes en el equipo. Crack de los cracks de seguridad en redes. Esto era sólo a nivel cuentas de AWS. Los equipos de seguridad y plataforma junto con la ayuda de BinBash, diseñamos una arquitectura de red con monitoreo, detección de intrusos, segmentación y microsegmentación, todo con infraestructura como código.


Segmentación entre VPCs con AWS Network Firewall. Entre Subnets con Access Control Lists. Dentro del cluster con Security Groups entre Pods. Una cebolla 🧅 básicamente.


Hardening y gestión de vulnerabilidades

Al ser una empresa cloud native, no podíamos dejar de aprovechar el modelo de responsabilidad compartida. AWS con la trayectoria que tiene, nivel de auditorías que debe pasar, y cantidad de ojos y cerebros puestos en su seguridad, lo mejor era delegar en ellos la mayor cantidad de controles posibles. El hardening de sistemas operativos es una tarea importante, laboriosa, y que siendo sinceros nadie quiere hacer. Para esto fue clave apoyarnos en tecnologías como:


  • EKS con Fargate

  • DynamoDB

  • RDS

  • S3


Para las pocas cosas que no pudimos delegar como los sistemas operativos de las estaciones de trabajo y alguna que otra EC2, aplicamos el CIS Benchmark mediante herramientas de Mobile Device Management o Amazon Machine Images pre-armadas.


Otro aliado estratégico para cumplir con estos objetivos de seguridad fue Gitlab con su tier Ultimate. En muy poco tiempo pudimos implementar un pipeline de seguridad que levanta hallazgos precisos para que los desarrolladores y el equipo de seguridad no pierdan tiempo con falsos positivos.

Nuestros pipelines de CI/CD impiden que llegue código con vulnerabilidades a producción, y también impide que alguien realice cambios sin que estos sean revisados por alguien más. 


Criptografía

Estando la plataforma montada en la nube, cumplir con los requisitos de criptografía no era muy complejo. Era cuestión de habilitar KMS y listo. Sin embargo, decidimos ir un paso más allá. 

Cada tenant en nuestra plataforma tiene su propia Customer Master Key (CMK) en AWS KMS. Esta decisión fundamental de diseño garantiza que los datos de cada cliente estén cifrados con su propia llave criptográfica, eliminando por completo cualquier posibilidad de que se mezclen, y asegurando que nuestros clientes tengan un control real sobre sus datos.

También contemplamos la gestión del ciclo de vida completo de las CMKs. El ciclo lo dejamos totalmente automatizado:

  • Las llaves se crean automáticamente durante el onboarding de nuevos clientes.

  • La rotación periódica de llaves está habilitada por defecto y es automática.

  • Los permisos se gestionan a través de políticas de IAM estrictas.

  • Todos los accesos y operaciones con las llaves son registrados en logs de auditoría


Monitoreo

Las “malas configuraciones” son un problema serio de la computación en nube. Gartner menciona en un estudio que en 2025 el 90% de las organizaciones que no controlen el uso de la nube pública tendrán brechas de seguridad.


Este riesgo lo teníamos bien presente incluso antes de arrancar con Akua y allá por julio 2024 vimos éste título en las noticias “Wiz rechaza oferta de US$23.000 millones de Google y busca salir a bolsa”.


Cuando tocó abordar este tema, enseguida les pedimos una demo. Long story short, decidimos aliarnos con Wiz y hacer frente a estos desafíos de manera integral, aprovechando la visibilidad completa de la infraestructura en la nube, alertas en tiempo real sobre malas configuraciones, accesos indebidos y riesgos de cumplimiento.


Además, con un feed de Threat Intelligence, podemos priorizar la remediación de amenazas basándonos en su impacto real, mientras que su funcionalidad de File Integrity Monitoring (FIM) nos ayuda a detectar modificaciones no autorizadas en archivos críticos, un requisito clave y muy específico de PCI DSS.


Estandarización como habilitador


Uno de nuestros diferenciales fue la implementación de un Internal Developer Platform (IDP).


Un IDP permite que los equipos de ingeniería se enfoquen en construir, sin perder tiempo en procesos manuales o configuraciones repetitivas.


✅ Infraestructura como código (IaC): Automatizamos la configuración de seguridad, eliminando errores humanos.

✅ Autonomía para desarrolladores: Seguridad embebida en el desarrollo sin bloquear el ritmo de despliegue.

✅ Monitoreo continuo: Identificación temprana de riesgos antes de que lleguen a producción.


Pero lo más importante es que un IDP estandariza la infraestructura, aplica seguridad por defecto y automatiza el cumplimiento de controles PCI DSS. Todo en Akua se provisiona y despliega con reglas de seguridad predefinidas, asegurando que cada servicio, cada aplicación y cada pipeline cumpla con los estándares desde el primer momento. Esto no solo acelera la certificación, sino que hace que todo el ciclo sea más fácil, escalable y seguro.


📌 Lee más sobre cómo un IDP acelera la seguridad y el cumplimiento en fintechs aquí: 👉 IDP: ¿Por qué, cuándo y cómo?



El impacto: más velocidad, más seguridad, más confianza


Lo que logramos en Akua no es solo un caso de éxito técnico. Es una prueba de que la seguridad y la velocidad no son opuestos.


🚀 Nos certificamos en menos de 5 meses, con certificación PCI DSS Nivel 1 en el bolsillo.

🔐 Nuestra infraestructura cloud-native es más segura que muchas plataformas tradicionales.

⚡ Demostramos que la velocidad bien ejecutada es una ventaja competitiva real.


Si en el mundo startup el mantra es “move fast and break things”, en Akua creemos en “move fast and build things right.”


👉 ¿Cómo logramos ir tan rápido sin romper nada? Lee más sobre nuestra filosofía aquí: Akua: Piensa en trenes!


La certificación PCI DSS Nivel 1 es alcanzable incluso con equipos pequeños si se eligen las herramientas correctas y se fomenta la colaboración entre equipos. La clave está en la automatización, la estandarización, y el compromiso con la seguridad en todos los niveles de la organización.

También hay que tener en cuenta que los más de 250 controles que componen el estándar presentan desafíos de interpretación, ya que la redacción de los requisitos no siempre es suficientemente clara o específica. Esto hace que sea crucial tener expertos que puedan determinar correctamente el alcance de cada control, identificar dónde deben implementarse las medidas de seguridad, y evaluar cuándo un control ha alcanzado un nivel adecuado de cumplimiento. Esta experiencia es particularmente valiosa para traducir los requisitos técnicos en acciones concretas y asegurar que las implementaciones cumplan efectivamente con el espíritu y la letra del estándar.

En Akua, gran parte del éxito en la certificación se debe a que muchos de nuestros colaboradores provienen de industrias reguladas por PCI, lo que aportó un conocimiento invaluable y una comprensión profunda de los requerimientos desde el primer día.


¿Quieres saber más sobre nuestra arquitectura de seguridad? Síguenos y no te pierdas nuestras próximas publicaciones.

159 visualizaciones0 comentarios

Entradas recientes

Ver todo

Comments

bottom of page