Análisis PCI DSS — PYTSBK-PD

Resumen Ejecutivo

Microservicios

pb/pc en producción

⚙️

Tráfico API (6h)

23,998

sin errores 5XX

📈

Regiones Activas

Active-Active

🌎

Alarmas Activas

de 46 configuradas

🔔

Distribución de Tráfico (últimas 6h)

🔵 Virginia (us-east-1) — 10,714 req — 44.6% 🔴 Oregon (us-west-2) — 13,284 req — 55.4%

Distribución gestionada por Akamai CDN. Sin errores 5XX en ninguna región. Latencia p99 dentro de parámetros.

Estado General de Cumplimiento

Reqs PCI Cumplidos

8 / 9

Req 12 con observaciones

Hallazgos Críticos

card-type · payment-revenue-dc

Mejoras Pendientes

Flow Logs · NACLs · Lambda runtime

Comparativa Multi-Región

🇺🇸 us-east-1 — Virginia

VPC CIDR 10.56.76.0/23

EKS AMX-SKE-PYTSBK-PD v1.35

ALBs 3 (1 NLB + 2 ALB)

GWLB Endpoints 4 (Palo Alto)

NACLs custom 3 configuradas

VPC Flow Logs ALL

KMS Keys 19

Target Groups 35

Tráfico 6h 10,714 req (44.6%)

5XX 0

🔄

Active
Active

↔

🌲 us-west-2 — Oregon

VPC CIDR 10.64.52.0/22

EKS AMX-SKE-PYTSBK-PD v1.35

ALBs 4 (1 NLB + 2 ALB + 1 test)

GWLB Endpoints 3 (Palo Alto)

NACLs custom 0 (solo default)

VPC Flow Logs REJECT only

KMS Keys —

Target Groups 35

Tráfico 6h 13,284 req (55.4%)

5XX 0

Diferencias Detectadas Entre Regiones

Control	Virginia	Oregon	Riesgo PCI
VPC Flow Logs	ALL (completo)	REJECT only	Req 10
NACLs	3 custom (restrictivas)	0 (solo default)	Req 1 · Req 12
GWLB Palo Alto	4 endpoints	3 endpoints	Asimetría
KMS Keys	19 gestionadas	No inventariadas	Req 3
EKS Version	1.35 (eks.13)	1.35 (eks.13)	Alineadas
Target Groups	35	35	Alineadas
Alarmas activas	0 / 46	—	OK

Arquitectura de Red — Flujo de Tráfico

Capa 1 — CDN & Protección

Usuarios

🌐 Internet

→

Akamai CDN / WAF

✓ Activo

→

Distribución

VA 44.6% / OR 55.4%

Capa 2 — Inspección de Seguridad (Palo Alto NGFW)

API Gateway

✓ HTTPS/TLS

→🛡️→

GWLB + Palo Alto

VA:4 / OR:3 endpoints

→

Transit Gateway

available

Capa 3 — Cómputo Kubernetes (Fargate)

EKS AMX-SKE-PYTSBK-PD

v1.35 · ACTIVE

↔

Pods pb / pc

35 Target Groups

→

Cybersource · DEUNA

Tokenización PCI

Capa 4 — Almacenamiento & Encriptación

S3 (16 buckets)

AES-256 + KMS

↔

KMS (19 keys)

CMK activas

↔

VPC Flow Logs

CloudWatch

Microservicios de Pagos — Virginia (últimas 6h)

Servicio	Capa	Requests	Latencia avg	Error Rate	Estado
am-pb-payment	base	29,675	77 ms	0.00%	Healthy
am-pb-card-type	base	26,130	11 ms	12.83%	Crítico
am-pc-identify-card	compose	26,008	108 ms	13.24%	Crítico
am-pb-cybersource-v1 (or)	base	25,015	449 ms	0.29%	Healthy
am-pb-get-fee	base	21,656	1 ms	0.00%	Healthy
am-pb-identify-msi	base	21,624	1 ms	0.00%	Healthy
am-pb-emit-ticket	base	21,551	107 ms	0.07%	Healthy
am-pc-payment-revenue-dc	compose	20,423	4,620 ms	4.46%	Lento
am-pc-cybersource-v1 (or)	compose	19,933	200 ms	0.27%	Healthy
am-pb-payment-dc	base	19,167	3,877 ms	3.94%	Lento
am-pc-payment-methods	compose	18,334	62 ms	0.00%	Healthy
am-pb-cybersource-v1	base	16,509	386 ms	0.25%	Healthy
am-pb-payment-methods-deuna	base	15,745	37 ms	0.04%	Healthy
am-pc-cybersource-v1	compose	14,054	252 ms	0.36%	Healthy
am-pb-sales-registry	base	13,734	29 ms	7.35%	Revisar
am-pc-antifraud-evaluation	compose	11,972	434 ms	0.28%	Healthy
am-pc-payment-status	compose	10,625	152 ms	0.00%	Healthy
am-pc-update-products	compose	9,760	354 ms	1.31%	Revisar
am-pc-payment-v1	compose	9,344	351 ms	0.88%	Healthy
am-pc-payment-revenue	compose	9,300	230 ms	0.64%	Healthy

Requerimientos PCI DSS v4.0 — Estado de Cumplimiento

Controles de Red

VPC con subredes privadas, Transit Gateway, GWLB con Palo Alto NGFW (firewall de inspección). NACLs en Virginia. TLS en todos los endpoints.

Configuraciones Seguras

EKS Fargate v1.35 sin nodos EC2 de propósito general. Imágenes con CodeGuru scanning. Lambdas con runtimes actualizados (excepto AUTH en Node 20).

Protección de Datos

19 KMS Customer Managed Keys en Virginia. S3 con AES-256. Datos de pago procesados vía Cybersource (tokenización externa, no se almacenan PANs).

Encriptación en Tránsito

HTTPS/TLS 1.3 en todos los endpoints. Akamai con certificados válidos. Comunicación interna entre pods sobre canal seguro.

Protección contra Malware

Contenedores Fargate sin acceso a sistema de archivos persistente. Imágenes escaneadas en CI/CD con CodeGuru y Tenable.

Sistemas y Software Seguros

Pipeline CI/CD con CodeBuild, escaneo automático CodeGuru. ArgoCD para GitOps. Revisión de código antes de deploy a producción.

Control de Acceso

SSO con IAM Identity Center. Roles con principio de menor privilegio (AMX-R-RFED-ATR). SCPs a nivel organizacional restringen acciones críticas.

Logging y Monitoreo

VPC Flow Logs activos. 46 alarmas CloudWatch. New Relic APM en todos los microservicios. CloudTrail multi-región habilitado.

Pruebas de Seguridad

Tenable instalado vía Lambda. CodeGuru reviewer en pipelines. Escaneo de contenedores automatizado pre-deploy.

Política de Seguridad ⚠️

Inconsistencia detectada entre regiones: NACLs configuradas solo en Virginia. VPC Flow Logs con diferente nivel de captura. Requiere alineación de controles.

🔴 Críticos (2)

⚠️ am-pb-card-type / am-pc-identify-card — Error Rate 12–13%

Ambos servicios presentan error rate elevado (12.83% y 13.24% respectivamente) con WebClientException. Probablemente relacionado con validación de tarjetas hacia un proveedor externo. Impacto directo en tasa de conversión de pagos. Acción: revisar logs del servicio y conexión con el proveedor de identificación de tarjetas.

⚠️ am-pc-payment-revenue-dc / am-pb-payment-dc — Latencia 3.8–4.6s

Latencia promedio de 3,877 ms y 4,619 ms respectivamente, con error rates de 3.94% y 4.46%. El timeout de PCI recomienda tiempos de respuesta bajo 5s. Estos servicios están en el límite y afectan la experiencia de checkout. Acción: investigar dependencias externas (Sabre DC) y evaluar circuit breakers.

🟡 Mejoras de Cumplimiento PCI (3)

VPC Flow Logs inconsistentes entre regiones

Virginia captura todo el tráfico (ALL) — cumple con PCI DSS Req 10. Oregon solo captura tráfico REJECT — no cumple completamente con el requisito de logging. Esto significa que las conexiones exitosas en Oregon no quedan registradas, lo que impide auditoría completa. Acción: actualizar Flow Logs de Oregon a filtro ALL.

NACLs no sincronizadas — Causa raíz del incidente 22-May-2026

Virginia tiene 3 Network ACLs custom con reglas restrictivas. Oregon solo usa las NACLs default (permiten todo). Esta asimetría fue la causa raíz probable del incidente del 22 de mayo donde los microservicios de Virginia presentaron desconexiones. Acción: alinear NACLs entre regiones o gestionar todo a nivel firewall Palo Alto.

Lambda AMX-LMBD-AUTH-PYTSBK-PD en Node.js 20 (EOL)

Node.js 20 llegó a End of Life en Abril 2026. Una función Lambda de autenticación corriendo en runtime sin soporte representa un riesgo de seguridad para PCI DSS Req 6 (sistemas seguros). Acción: actualizar a nodejs22.x.

✅ Sin Hallazgos

Sin errores 5XX en API Gateway

Ambas regiones reportan 0 errores 5XX en las últimas 6 horas. El API Gateway está operando con normalidad.

EKS sincronizado en versión 1.35

Ambas regiones corren la misma versión de Kubernetes (1.35, eks.13). No hay deuda técnica de versiones.

Sin alarmas CloudWatch activas

Las 46 alarmas configuradas en Virginia están en estado OK.

Inventario de Recursos

🔧 Cómputo

EKS Cluster AMX-SKE-PYTSBK-PD

Versión K8s 1.35 (eks.13)

Tipo nodos Fargate (serverless)

Target Groups 35 por región

Lambdas 5 (Virginia)

ArgoCD Habilitado

💾 Almacenamiento

S3 Buckets 16

S3 Encriptación Todos AES-256

S3 Versioning Habilitado

KMS Keys 19 (Virginia)

Datos PCI Tokenizados

PANs almacenados Ninguno

🔒 Seguridad

GWLB / Palo Alto VA 4 endpoints

GWLB / Palo Alto OR 3 endpoints

NACLs custom VA 3

NACLs custom OR 0

SSO IAM Identity Center Activo

SCPs Organizacionales Aplicadas

Lambdas

Función	Runtime	Estado	PCI Risk
AMX-LMBD-AUTH-PYTSBK-PD	nodejs20.x	EOL	Req 6
EC2TenableInstaller	python3.12	OK	—
MAP-Tagger-0e574aad45cd	python3.11	OK	—
aws-quicksetup-lifecycle-TA	python3.11	OK	—
aws-controltower-NotificationForwarder	python3.13	OK	—

S3 Buckets (selección)

Bucket	Región	Encriptación	Propósito
amx-ssa-ar-pytsbk-us-east-1-459513730252-pd	us-east-1	AES-256	Artefactos
amx-ssa-ar-pytsbk-us-west-2-459513730252-pd	us-west-2	AES-256	Artefactos
amx-ssa-obj-pytsbk-us-east-1-459513730252-pd	us-east-1	AES-256	Objetos app
amx-ssa-obj-pytsbk-us-west-2-459513730252-pd	us-west-2	AES-256	Objetos app
amx-ssa-dvps-cccp-pytsbk-*	ambas	AES-256	CI/CD pipelines
amx-ssa-dvps-tenable-report-*	ambas	AES-256	Reportes Tenable