Intouch Development
Intouch Development es una empresa desarrolladora de Software con sede en San José (Costa Rica) especializada en el desarrollo de soluciones de pago y tokenización de reservas con quien hemos tenido la oportunidad de desplegar un entorno PCI-DSS en AWS (Amazon Web Services) desde cero teniendo la seguridad como nuestra máxima prioridad.
Desde que Daniel Alvarado (CEO de Intouchdev) nos contactó por primera vez y nos propuso el reto de ayudarles a levantar una pasarela de pagos en el Cloud incluyendo la seguridad desde el inicio, en A2SECURE tuvimos claro que era una gran oportunidad para intentar aprovechar las nuevas funcionalidades de seguridad que los entornos Cloud ponen a nuestra disposición y diseñar una
infraestructura orientada a proteger los flujos de datos de tarjeta que viajaran a través de ella.
Aislando entornos críticos
Como en cualquier proyecto de adaptación a la normativa PCI-DSS, desde A2SECURE analizamos las necesidades de nuestro cliente y entendimos los flujos de datos de tarjeta a través de la futura plataforma. Escogimos aislar todos aquellos sistemas encargados de
transmitir y/o procesar datos de tarjeta del resto de sistemas mediante la creación de una cuenta específica de AWS y separamos los servicios internos y externos en dos VPC diferentes.
Llegados a este punto, teníamos un alcance claramente definido donde desplegar todos los controles de seguridad necesarios para cumlir con la normativa PCI-DSS con las máximas garantías.
Sacando provecho de los servicios del Cloud
Una de las principales peticiones de Daniel fué que la pasarela de pagos estuviera desplegada en AWS. Gracias al trabajo realizado en proyectos anteriores por nuestro equipo de consultores y auditores QSA en entornos parecidos, desde A2SECURE teníamos claro que explotar los servicios de seguridad que AWS pone a disposición de sus clientes era clave para el éxito del proyecto. En este sentido; aprovechamos la fácil gestión de ACL’s y Security Groups para restringir aún más el tráfico entrante y saliente de la plataforma, configuramos el IAM para asegurar el “zero trust privilege” e integramos los logs de CloudTrail con la solución SIEM desplegada para tener monitorizado el entorno en todo momento.