09.3 — INVENTARIO DE ACTIVOS DE INFORMACIÓN (RESUMEN EJECUTIVO)

Código: ANX-003 Versión: 1.0 — 16 de abril de 2026

Inventario consolidado. El inventario operativo detallado (con dueños por activo, criticidad, dependencias) se mantiene en herramienta interna (ver docs/security/asset_inventory.yaml) y se entrega bajo NDA.

---

1. Clasificación de información

Nivel	Descripción	Ejemplos
Restringida	Impacto severo si se divulga	PANs (en vault), secretos KMS, llaves privadas JWT
Confidencial	Impacto significativo	Datos personales de clientes/subcomercios, información contable, contratos
Interna	Impacto moderado	Código fuente, diagramas internos, runbooks
Pública	Sin impacto	Sitio web, documentación pública de APIs

2. Activos de información principales

2.1. Datos (data assets)

Activo	Clasificación	Dueño	Protección
PAN y sensitive authentication data	Restringida	CISO	Solo en card-vault-service, AES-256, KMS
Tokens de pago	Confidencial	CTO	Base payments_core, RLS
Datos personales de clientes	Confidencial	DPO	Cifrado en reposo, RLS, acceso auditado
Datos personales de subcomercios	Confidencial	DPO	Igual que clientes
Documentos KYB	Confidencial	Representante Legal	S3 con cifrado SSE-KMS, URLs firmadas
Logs de auditoría	Restringida	CISO	Append-only, retención 10 años
Métricas operacionales	Interna	SRE	Prometheus, Grafana
Logs aplicativos (con masking)	Interna	SRE	Retención 90 días en hot; archivado posterior

2.2. Aplicaciones y servicios

Activo	Criticidad	Dueño	Ubicación
payments-api	T0	CTO	EKS prod
tokenization-service	T0	CISO	EKS prod (PCI)
card-vault-service	T0	CISO	EKS prod (PCI)
auth-service	T0	CTO	EKS prod
webhooks-service	T1	CTO	EKS prod
orchestration-service	T1	CTO	EKS prod
onboarding-service	T2	CTO	EKS prod
admin-audit-service	T1	CISO	EKS prod
realtime-gateway	T1	CTO	EKS prod
integration-runtime	T2	CTO	EKS prod
email-service	T2	CTO	EKS prod
fintrix-api-gateway	T1	CTO	EKS prod
postgraphile-gateway	T2	CTO	EKS prod
Servicios factory (ms-countries, ms-cities, ms-branches, ms-roles, ms-customers)	T2	CTO	EKS prod
Frontend fintrix-dashboard	T1	CTO	CloudFront

2.3. Infraestructura

Activo	Criticidad	Dueño
VPC productiva	T0	SRE
RDS PostgreSQL Multi-AZ	T0	SRE
MSK (Kafka)	T0	SRE
EKS cluster	T0	SRE
KMS keys	T0	CISO
S3 buckets (KYB, backups)	T1	SRE
Route53 / DNS	T1	SRE
CloudFront / WAF	T1	SRE
Secrets Manager	T0	CISO
Kong API Gateway	T0	SRE

2.4. Identidades y accesos

Activo	Gestión
Usuarios internos	SSO corporativo + MFA obligatoria
Service accounts (CI/CD)	Credenciales en Secrets Manager, rotación automática
Roles IAM AWS	IaC en Terraform; principio de mínimo privilegio
Roles Kubernetes	RBAC en EKS
Roles de aplicación	JWT con scopes + RLS

2.5. Proveedores críticos (terceros)

Proveedor	Servicio	Criticidad	Contrato
AWS	IaaS, KMS, RDS, MSK, EKS	T0	Enterprise con SLA
Credibanco	Adquirencia + 3DS	T0	Contrato vigente
Banco sponsor	Liquidación y cuenta de recaudo	T0	En formalización (este DD)
Confluent (para MSK)	Kafka managed	T1	Vía AWS
GitHub	Repositorio, CI	T1	Enterprise
Proveedor SIEM	Correlación	T1	Contrato vigente
Proveedor de email (SES)	Entrega transaccional	T2	AWS

3. Propietarios (ownership)

• Dueño del activo: responsable de clasificación, acceso y ciclo de vida.
• Custodio: responsable técnico (SRE, DevOps).
• Usuario: opera bajo autorización.

4. Ciclo de vida del activo

• Creación — se registra en el inventario con clasificación y dueño.
• Uso — accesos registrados en admin-audit-service.
• Mantenimiento — revisión semestral del inventario.
• Disposición — eliminación segura (criptográfica para datos, wipe para hardware) conforme a política.

5. Revisión

• Revisión semestral por CISO + CTO.
• Revisión extraordinaria ante cambios de arquitectura.
• Aprobación por Representante Legal.