Alodiga

Infraestructura de Pagos

Estrategia de
Cumplimiento PCI

Camino técnico-comercial para habilitar adquiriencia certificable con Mastercard y Visa.

Autor: ALODIGA

Fecha: Mayo 2026

Introducción y Contexto

El Desafío de la Adquiriencia Moderna

Alodiga

Necesidad del Mercado

El mercado exige una plataforma de adquiriencia ágil, moderna y conectada internacionalmente.

El imperativo estratégico es claro: habilitar la operación con redes internacionales de forma viable y altamente escalable sin incurrir en cuellos de botella regulatorios.

Fallo de Modelos Tradicionales

Los modelos PCI tradicionales fallan en la era cloud-native.

Al expandir la huella de cumplimiento a toda la infraestructura, multiplican exponencialmente el alcance técnico, el costo de auditoría recurrente y la complejidad operacional general, paralizando por completo el time-to-market del negocio.

Comparativa Estratégica

Matriz Operacional: Tradicional vs. Inteligente

Alodiga

Dimensión	Modelo Tradicional	Enfoque ALODIGA
Alcance PCI	Global. Toda la plataforma es un entorno regulado y expuesto a auditorías pesadas.	Aislado. Alcance reducido exclusivamente al microservicio Boundary de tokenización.
Complejidad Operacional	Alta. Fricción constante en cada despliegue técnico y cambios en producción.	Mínima. Operación comercial token-only sin carga regulatoria agregada.
Certificación	De 12 a 18 meses de esfuerzo continuo con auditorías exhaustivas.	Acelerada. Ruta estructurada y definida en 360 días para la obtención oficial.
Infraestructura	Monolítica y rígida, difícil de escalar y altamente costosa.	Híbrida / Cloud-Native. Diseñada con componentes Serverless modernos.

Diseño del Entorno

Arquitectura Objetivo: Separación Estratégica

Alodiga

PCI Zone (El Enclave Seguro)

Un entorno restringido, minimizado y altamente blindado.

Su única función es capturar, procesar en memoria volátil y tokenizar de inmediato el dato sensible de la tarjeta (PAN).

AISLAMIENTO TOTAL

Plataforma Token-Only

El 90% de la arquitectura opera con tokens desensibilizados.

Máxima agilidad de desarrollo y agilidad comercial sin el peso paralizante de los controles PCI en cada despliegue de software.

90% FUERA DE ALCANCE

Aislamiento Cloud

Arquitectura de Seguridad: El PCI Boundary Aislado

Alodiga

Definición del PCI Boundary como un "Firewall Técnico y Legal".

Los datos de tarjeta en claro nunca tocan el núcleo operativo del negocio, garantizando un alcance mínimo auditable.

Descontaminación del Core:
El núcleo del negocio opera sin contaminación por datos de tarjeta (PAN).
Microservicios en Scope:
Microservicio aislado operando bajo esquemas PCI-DSS v4.0.1 estrictos.
Gestión de Cuentas AWS:
Aislamiento lógico gestionado de forma robusta mediante AWS Organizations.

Bóveda de Datos

Ejecución Técnica Serverless: La Bóveda de Datos

Alodiga

Sustitución total de servidores virtuales por componentes Serverless nativos de AWS, garantizando que el entorno se destruya milisegundos después de cada transacción.

Amazon DynamoDB

Bóveda cifrada en reposo que solo almacena la relación bidireccional segura entre Token y el PAN Cifrado. Cifrado nativo (Encryption at Rest).

AWS Lambda

Procesamiento en memoria puramente volátil. El entorno de ejecución se destruye tras milisegundos de completar la tokenización, eliminando persistencia indeseada.

Amazon API Gateway

Único punto de entrada HTTPS mandatorio. Configurado exclusivamente con TLS 1.2/1.3 y políticas de filtrado avanzadas.

Seguridad Grado Militar

Uso exclusivo de AWS KMS con módulos de hardware (HSM) validados bajo el estándar FIPS 140-3 Nivel 3 para la gestión absoluta de llaves criptográficas.

Mapa de Sistemas

Arquitectura Técnica de Tokenización

Alodiga

AWS Out-Scope Account (Plataforma Principal)

Lógica de Negocio No Auditable

El núcleo del negocio opera sin tocar datos sensibles en ningún momento, reduciendo drásticamente el alcance regulado.

Clientes y POS: Hosted Fields o SoftPOS solicitan token.
Almacenamiento: Solo se reciben y guardan tokens desensibilizados.
Velocidad: Despliegues continuos sin restricción del auditor QSA.

AWS In-Scope Account (CDE Enclave)

PCI DSS Auditable CDE

Componentes altamente restringidos bajo AWS Organizations. Todo dato sensible se encripta y tokeniza en milisegundos.

Entrada: API Gateway (HTTPS TLS 1.3) capta el PAN.
Procesamiento: Lambda realiza lógica y cifra con AWS KMS (FIPS 140-3 L3).
Almacenamiento: DynamoDB Bóveda cifrada guarda relación Token <-> PAN.

Segmentación Absoluta: Cuentas AWS separadas Serverless: Cero servidores EC2 (Sin SSH, sin parches) HSM de AWS KMS: FIPS 140-3 L3 Alcance Mínimo: PAN en memoria volátil

Flujo Transaccional

Ciclo de Vida de una Transacción Segura

Alodiga

El recorrido del dato de tarjeta de extremo a extremo bajo segmentación inteligente.

1

Captura

Mediante Hosted PCI Fields en web o SoftPOS MPoC/CPoC en móviles.

2

Cifrado e Ingesta

Cifrado inmediato punto a punto (P2PE) y recepción vía API Gateway.

3

Procesamiento

AWS Lambda genera el Token único y cifra el PAN en DynamoDB.

4

Descontaminación

Retorno únicamente del Token seguro a la plataforma principal de ALODIGA.

5

Autorización

Envío seguro a redes internacionales (Mastercard/Visa) bajo PCI DSS v4.0.1.

Habilitadores Comerciales

Ecosistema de Tokenización y Omnicanalidad

Alodiga

SoftPOS & Tap-to-Phone:
Preparado para el futuro de la adquiriencia. Compatibilidad absoluta con estándares emergentes como MPoC y CPoC, permitiendo convertir dispositivos móviles comerciales en terminales de cobro seguro.
Hosted Fields:
Reducción drástica de alcance en el front-end mediante campos de captura alojados (Hosted PCI Fields), asegurando que el dato de la tarjeta nunca resida en la memoria del navegador del cliente final.
Alianzas Estratégicas:
Integración nativa y flexible con proveedores PCI Level 1 globales. Flexibilidad arquitectónica para orquestar de manera transparente con líderes del sector como VGS, Bluefin o Thales.

Gobierno TI

Gobernanza de Seguridad: DevSecOps & Zero Trust

Alodiga

Security by Design: La seguridad es una constante nativa en el Pipeline CI/CD; no una capa añadida al final del ciclo.

Pipeline Guardianes

SAST / DAST: Análisis automático de vulnerabilidades estáticas y dinámicas en cada despliegue.

Secret Scanning: Prevención proactiva contra la fuga de credenciales o llaves en código.

Zero Trust

K8s Hardening: Endurecimiento de orquestadores para eliminar superficies de ataque.

AWS IAM: Principio de menor privilegio estricto y vigilancia activa mediante SIEM/WAF/IDS.

Hoja de Ruta

Hoja de Ruta de 360 Días hacia la Certificación

Alodiga

Día 0 - Día 90

Fase 1: Cimentación

Definición formal y técnica del PCI Boundary estricto.
Aislamiento de cuentas AWS bajo AWS Organizations.
Selección técnica de proveedores de tokenización de Nivel 1.

Día 90 - Día 180

Fase 2: Fortalecimiento

Ejecución de hardening riguroso de sistemas y K8s.
Configuración de escaneos de vulnerabilidades ASV recurrentes.
Ejecución del primer Pentesting formal (pruebas de penetración).

Día 180 - Día 360

Fase 3: Validación

Evaluación formal en sitio por firma QSA acreditada.
Obtención oficial del Reporte de Cumplimiento (ROC) o SAQ D.
Activación oficial del servicio de adquiriencia con Sponsor Bank.

Filosofía de Negocio

La Ventaja Estratégica: Minimizar el Radio de Impacto

Alodiga

ALODIGA evita convertir toda la plataforma en un entorno PCI pesado.

Al operar bajo un modelo conceptual Token-Only, el negocio retiene su velocidad natural de innovación técnica y comercial, mientras que toda la fricción regulatoria queda herméticamente encapsulada dentro de la PCI Zone.

Escalabilidad Ilimitada

Este modelo operacional garantiza una escalabilidad cloud-native sin precedentes en la industria financiera.

Crecer en volumen de transacciones ya no se traduce en incrementar linealmente la complejidad de los controles de seguridad ni los costos de auditorías anuales.

Propuesta de Valor

Modelo Comercial y Propuesta de Valor

Alodiga

Estructura Comercial

• Licenciamiento de tecnología flexible.

• Setup e implementación inicial guiado.

• Soporte operativo continuo 24/7.

• Servicios de Compliance QSA delegados.

Reducción de Riesgo

Aislamiento absoluto de la responsabilidad del manejo de datos de tarjetas sensibles de pago (PAN), transfiriendo el riesgo fuera del Core Principal.

Eficiencia Financiera

Menor costo recurrente en auditorías de cumplimiento PCI anuales y simplificación drástica de los requerimientos técnicos exigibles.

Escalabilidad

Arquitectura puramente cloud-native basada en componentes Serverless de alta disponibilidad, capaz de procesar miles de transacciones por segundo.

Conclusión

Resultados de Negocio y Cierre

Alodiga

El Plan Maestro de ALODIGA transforma una carga administrativa pesada en una ventaja competitiva insuperable.

Simplificación Normativa:
Migración garantizada del complejo y costoso SAQ D hacia cuestionarios simplificados de huella mínima (SAQ C o SAQ C-VT).
Escalabilidad Cloud-Native:
Una arquitectura que crece de forma exponencial en transacciones sin incrementar de forma lineal los costos operativos de seguridad.
Vanguardia Financiera:
Certificación internacional certificable que posiciona de inmediato a ALODIGA para operar bajo las máximas exigencias globales.

Estrategia deCumplimiento PCI

El Desafío de la Adquiriencia Moderna

Matriz Operacional: Tradicional vs. Inteligente

Arquitectura Objetivo: Separación Estratégica

Arquitectura de Seguridad: El PCI Boundary Aislado

Ejecución Técnica Serverless: La Bóveda de Datos

Arquitectura Técnica de Tokenización

Lógica de Negocio No Auditable

PCI DSS Auditable CDE

Ciclo de Vida de una Transacción Segura

Ecosistema de Tokenización y Omnicanalidad

Gobernanza de Seguridad: DevSecOps & Zero Trust

Hoja de Ruta de 360 Días hacia la Certificación

Fase 1: Cimentación

Fase 2: Fortalecimiento

Fase 3: Validación

La Ventaja Estratégica: Minimizar el Radio de Impacto

Modelo Comercial y Propuesta de Valor

Resultados de Negocio y Cierre

Estrategia de
Cumplimiento PCI