El alcance PCI DSS de un comercio (Merchant) o de un proveedor de servicios (Service Provider) llega a su momento real en el borde de aplicación. El tráfico expuesto a internet termina aquí. Las decisiones de acceso al CDE se toman aquí. Los datos de tarjeta entran y salen por aquí. PCI DSS v4.0.1 intensificó este borde: bajo el Req 8.4.2, el MFA al CDE ya no se aplica solo a los administradores, sino a cada cuenta; los Network Security Controls del Req 1 se han definido para abarcar, más allá de los firewalls stateful, los proxies conscientes de la aplicación y el software-defined isolation; los nuevos controles client-side del Req 6.4.3 y 11.6.1 aportan protección frente a los ataques de skimming de la página de pago; la observabilidad de nivel de auditoría del Req 10 tiene que ser continua, no anual.
Las respuestas clásicas son caras. El kit de add-ons: un módulo WAAP de un fabricante, un módulo de acceso de otro, un add-on de multi-tenancy de un tercero, enmascaramiento de datos sensibles de un cuarto — cada uno licenciado aparte, cada uno con su propio panel, todos integrados por su equipo. El edge en la nube: traslade los datos de tarjeta a un WAAP de terceros — entregue la ruta entre el usuario y el CDE a la plataforma de otra empresa; cuando el auditor pregunte "¿dónde se inspeccionan los datos de tarjeta?", su respuesta será "en la nube de otro".
El tercer camino, el que la mayoría de los equipos de operaciones realmente quiere: cubrir los controles PCI del borde de aplicación, sobre la red que ya está dentro de su frontera de auditoría, en una sola plataforma. TR7 está hecho para este camino. TLS, WAAP, MFA al CDE, aislamiento vTenant, enmascaramiento de datos sensibles y auditoría; sobre el mismo TR7. El auditor pide evidencia; un solo panel de operador la produce.
Cada uno importa por sí solo. Todos juntos describen cómo es un cumplimiento PCI en el que el borde de aplicación corre en una sola plataforma.
Terminación TLS con cifrados modernos en el edge de TR7, certificados actuales, OCSP stapling, HSTS y la opción de mTLS donde sea necesario. Los datos de tarjeta cumplen las expectativas de criptografía del Req 4.2.1 antes de alcanzar el backend.
Inspecciona cada solicitud que llega a una aplicación expuesta a internet antes de que alcance el CDE. TR7 WAAP combina su biblioteca de más de 10.000 firmas, el motor de scoring de 11 factores y reglas conscientes del contenido; el mapeo CWE/CAPEC/MITRE hace trazable la evidencia de auditoría e incidentes. El Req 6.4.2 exige una solución delante de las aplicaciones públicas — TR7 es esa solución.
PCI DSS v4.0 amplió la obligación de MFA de solo los administradores a cada cuenta que accede al CDE. TR7 AAM aplica la autenticación multifactor en el borde de acceso con OIDC, SAML, TOTP, FIDO2 y escala el nivel cuando cambia el contexto. El mismo control cubre al personal interno, los recursos externos y las cuentas de servicio cuando llegan al CDE a través de TR7.
PCI DSS v4.0 replanteó el concepto de "firewall" como Network Security Controls e incluyó explícitamente los proxies conscientes de la aplicación y el software-defined isolation. TR7 proporciona justamente eso: vTenant para el aislamiento administrativo y operativo entre cargas dentro y fuera del CDE, pools de QoS que dan al tráfico del CDE su propia envolvente de ancho de banda y tablas de ruta por vService que mantienen separados los flujos orientados al CDE. Para los proveedores de servicios PCI, vTenant cumple las obligaciones multi-tenant del Appendix A1 sin necesidad de un appliance aparte por cada comercio.
TR7 detecta el PAN, el CVV y otros patrones sensibles en las respuestas API y HTML, y los enmascara según la política antes de que salgan del borde de aplicación. El Req 3.4 exige que el PAN sea ilegible en todo lugar donde se almacene o se muestre en contextos no autorizados — TR7 aplica esa frontera en la vía de salida sin cambios de código en la aplicación.
Los eventos de acceso, las decisiones de tráfico, las detecciones de WAAP, los resultados de MFA y las sesiones SSH hacia los destinos de administración comparten el mismo rastro de auditoría. El registro SSH a nivel de comando está listo para investigación sin un producto PAM aparte. La exportación a SIEM se hace con una taxonomía consistente en toda la plataforma — la evidencia que pide el auditor llega desde un solo lugar.
Cada capacidad indicada a continuación corre sobre la misma plataforma TR7 que entrega y protege sus servicios modernos.
Versiones TLS actuales, suites de cifrado modernas, OCSP stapling, gestión automática de certificados. Opción de mTLS donde haga falta. Soporta las expectativas del Req 4.2.1 sobre la seguridad de los datos de tarjeta durante la transmisión.
Más de 10.000 firmas y motor de scoring de 11 factores. Categorías OWASP, protecciones específicas de framework, mapeo CWE/CAPEC/MITRE para la auditoría y el proceso forense. Modos de bloqueo en línea o solo detección.
Inyecte Content Security Policy, Subresource Integrity, X-Frame-Options, HSTS y otras cabeceras de seguridad en el constructor visual de políticas. Las cabeceras se configuran en el edge, no en el código heredado que nunca las estableció.
Inspeccione las etiquetas de script no autorizadas o el contenido inesperado en las respuestas HTML y JSON que salen de un backend comprometido. Detecta la vulneración del lado del servidor que produce salida tipo skimmer antes de que alcance el navegador.
Autenticación multifactor para cada cuenta que accede al CDE a través de TR7. TOTP, FIDO2, push y SMS; escalado de nivel en los cambios de contexto como nuevo dispositivo, nueva geografía o recurso sensible.
El modo Per-Service Authentication de AAM envuelve una aplicación CDE heredada con SSO OIDC o SAML desde su IdP. El backend heredado recibe la pieza de identidad que espera; el usuario entra por la vía moderna y con MFA.
Aislamiento multi-tenant a nivel de plataforma. Los tenants comparten TR7 pero quedan separados administrativa, operativa y observacionalmente. Las cargas del CDE pueden vivir en sus propios tenants — una frontera auditable por diseño. Soporta las obligaciones del Appendix A1 para los proveedores de servicios.
El tráfico del CDE en su propia envolvente de ancho de banda; los flujos orientados al CDE en tablas de ruta dedicadas. En la terminología de PCI DSS v4.0, los Network Security Controls son explícitamente más amplios que los firewalls stateful — cuentan los proxies conscientes de la aplicación, las ACL y el software-defined isolation. TR7 cubre esa superficie de control en la capa de aplicación.
Reglas de truncamiento del PAN, supresión del CVV, enmascaramiento de patrones configurable en las respuestas salientes. Las obligaciones de visualización del PAN del Req 3.4 se cumplen en el borde de salida sin cambiar el código de la aplicación.
Un solo panel de operador y un solo rastro de auditoría a lo largo de las capas de entrega, seguridad, acceso y DDoS. Exportación a SIEM con taxonomía consistente. Soporta las obligaciones de contenido, retención y revisión del Req 10.
Las sesiones SSH que alcanzan los destinos de administración del CDE en el backend a través de TR7 se registran a nivel de comando — cada comando, cada respuesta. Auditoría de calidad de investigación para el acceso privilegiado que más le importa al Req 8 y al Req 10.
TLS, WAAP, MFA, vTenant, enmascaramiento y auditoría corren sobre el mismo motor. No hay un módulo de acceso aparte, un módulo de enmascaramiento aparte, un SKU de multi-tenancy aparte ni un add-on de auditoría aparte — todo viene dentro de la misma licencia de ancho de banda.
TR7 corre en su propio hardware, en su propio centro de datos, bajo sus propios controles de red. Los datos de tarjeta y los logs de auditoría no pasan por un edge de terceros. La frontera criptográfica, la frontera de inspección y la frontera de auditoría son la misma frontera.
TR7 cubre una superficie concreta de PCI DSS — el borde de aplicación. El mapa a continuación es honesto sobre lo que cubre y lo que no.
vTenant, la separación de pools de QoS y las tablas de ruta por vService proporcionan controles NSC en la capa de aplicación. Las cargas dentro y fuera del CDE detrás de TR7 pueden aislarse administrativa, operativa y a nivel de ancho de banda. Esto es un componente de la postura NSC de la organización; un firewall de red stateful L3/L4 en la capa de red suele complementarlo.
El enmascaramiento de datos sensibles en las respuestas aplica la ilegibilidad del PAN en la vía de salida. Patrones configurables, truncamiento, supresión. Se cumple en el edge sin cambiar el código de la aplicación.
Terminación TLS con versiones actuales y cifrados modernos en el edge. HSTS, OCSP stapling, gestión de certificados. mTLS donde haga falta. Los tramos internos hacia el backend también pueden protegerse con TLS desde el edge de TR7.
TR7 WAAP combina firmas, el motor de scoring de 11 factores y reglas conscientes del contenido. El mapeo CWE/CAPEC/MITRE hace las detecciones trazables para la auditoría. Modos de operación de bloqueo en línea o solo detección.
TR7 contribuye a estos requisitos con controles concretos — inyección de cabeceras CSP y SRI mediante reglas conscientes del contenido, inspección de respuestas del lado del servidor para la inyección de scripts no autorizada y señales de gestión de bots para el comportamiento tipo skimmer. Para el tipo de monitorización del comportamiento de scripts del lado del navegador que estos requisitos abordan específicamente, normalmente se usa una herramienta complementaria lado a lado. El alcance honesto está en la FAQ de abajo.
AAM aplica la política de acceso por aplicación en el borde del CDE. La identidad, el posture del dispositivo, la geografía, la hora del día y la fuerza del MFA alimentan cada decisión de acceso. El movimiento lateral queda rodeado por la frontera que cada aplicación autoriza explícitamente.
Se aplica MFA en el borde de acceso para cada cuenta que alcanza el CDE a través de TR7 — administradores, personal interno, recursos externos, cuentas de servicio. Autenticación con escalado de nivel cuando cambia el contexto. OIDC, SAML, TOTP, FIDO2 nativos.
Los eventos de acceso, las detecciones de WAAP, los resultados de MFA y las sesiones SSH a nivel de comando en un solo rastro de auditoría. Exportación a SIEM con taxonomía consistente. Retención configurable. Soporta las obligaciones de contenido, integridad y revisión del Req 10.
vTenant proporciona aislamiento administrativo, operativo y observacional entre tenants sobre una infraestructura TR7 compartida. Un tenant en alcance PCI corre junto a los tenants fuera del alcance PCI sin que se mezclen la configuración, la auditoría ni el tráfico.
TR7 es la capa del borde de aplicación de un programa PCI. No reemplaza el anti-malware (Req 5), los controles de acceso físico (Req 9), el escaneo de vulnerabilidades de red (Req 11.3), las pruebas de penetración (Req 11.4), la monitorización de la integridad de archivos (Req 11.5) ni los controles anti-skimmer dentro del navegador del cliente al nivel que proporcionan los productos especializados de protección del lado del cliente. Estos son los controles que complementan a TR7 dentro de un programa PCI completo.
Canales expuestos a internet por los que fluyen los datos de tarjeta. TR7 coloca TLS, WAAP, MFA y enmascaramiento del PAN en el borde delante del CDE; vTenant separa las cargas de producción que procesan tarjetas de las aplicaciones fuera del CDE en la misma plataforma.
Storefront, APIs de checkout y back-office. WAAP delante del storefront público; MFA en el acceso al back-office; enmascaramiento del PAN en las respuestas de detalle de pedido dirigidas al personal; cabeceras CSP y SRI inyectadas en el edge para apoyar los controles de integridad de la página de pago.
Estructura que da servicio a muchos comercios. vTenant da a cada comercio o grupo de comercios su propio alcance PCI aislado sobre una infraestructura TR7 compartida — separado administrativa, operativa y observacionalmente. Las obligaciones del Appendix A1 se cumplen sin necesidad de un appliance aparte por cada comercio.
Impuestos, multas, tasas, recorridos de pago abiertos al ciudadano. TLS, WAAP, MFA y auditoría on-prem mantienen los datos de tarjeta y el rastro de auditoría dentro de la infraestructura nacional y bajo gestión local.
Productos API-first que transportan datos de tarjeta y otros datos de pago. WAAP más API schema enforcement en el edge; MFA en el borde de acceso para el dashboard y la consola de desarrollador; enmascaramiento del PAN en las respuestas de logs y dashboards; auditoría centralizada a lo largo de la superficie API.
Portales de proveedores que aceptan transacciones de tarjeta junto a PHI. TR7 cubre los controles PCI del borde de aplicación mientras corre en la misma plataforma que protege la superficie de aplicación más amplia — un solo equipo de operadores, un solo rastro de auditoría.
Capacidades referenciadas por esta solución — las piezas técnicas que componen los controles descritos arriba.
Acceso desde el navegador a sistemas RDP, VNC, SSH, Kubernetes y legacy — bóveda de credenciales, grabación y marca de agua integradas.
Tres métodos de MFA, política por servicio, atajo de dispositivo de confianza — sin nube de MFA de terceros.
Un único motor de flujo determina cada resultado de autenticación — quién, a qué, después de qué factor, en qué contexto.
La confianza ganada en el inicio de sesión no se arrastra para siempre. Cada sesión permanece bajo evaluación en cada paso.
Conecte cualquier fuente de identidad más allá de SAML y OIDC al mismo flujo de acceso y auditoría.
La inspección WAAP, la identidad mTLS y el enmascaramiento de datos siguen funcionando incluso mientras el tráfico fluye hacia los backends sobre TLS.
Enmascare la IP para privacidad de logs, reconstruya la IP de cliente correcta a través de cadenas de proxy.
Vaya más allá de L3/L4 — lleve el contexto HTTP a sus registros de flujo.
Lleve TLS más allá de la configuración basada en archivos — conviértalo en un perfil de seguridad por servicio, ciclo de vida de certificados y capa de preparación post-quantum.
Saque el certificado de cliente del control de conexión y conviértalo en un objeto de identidad que impulsa las decisiones de tráfico.
Cada tenant en su propio mundo de enrutamiento — IPs solapadas, enrutamiento estático + dinámico y monitorización de gateway desde un único panel.
Combine firma, puntuación y contexto en un único motor — gestione los ataques conocidos con confianza.
Enmascare datos sensibles a nivel de plataforma antes de que lleguen al usuario o a los logs.
Envíe cada evento de la plataforma a su SIEM en el formato que espera — JSON, CEF o plainText.
DNSSEC por dominio con custodia de claves en su propia infraestructura — sin servicio de firma de terceros.
Un único TR7. Múltiples tenants. Límites de recursos, red y operación separados entre sí.
Que cada solicitud L7 sea medible, filtrable y reportable.
Produzca informes PDF/XLSX con marca, programados y bajo demanda en un único pipeline de reporte.
Aplique 8 cabeceras de seguridad en la capa ADC sin modificar el código de la aplicación.
Convierta los logs WAAP brutos en informes de evidencia legibles para auditores, gestión y clientes.
Traiga su alcance PCI a una demo de TR7. Recorreremos juntos el TLS en el edge, el WAAP delante del CDE, el MFA al CDE, el aislamiento vTenant, el enmascaramiento y el rastro de auditoría — y veremos exactamente qué evidencia pide un auditor.