Sala server PCI nei locali: come gestire i visitatori degli uffici?

0

C'è una sala server che fa parte dell'ambiente PCI e si trova all'interno dell'ufficio. L'accesso alla stanza del server è controllato secondo PCI Requisito 9 DSS: " Limita l'accesso fisico ai dati dei titolari di carta " (lucchetto, badge, tastiera, telecamere ecc.).

Domanda: dobbiamo applicare il controllo a livello di ufficio per soddisfare il requisito 9.4 " Implementare procedure per identificare e autorizzare i visitatori. " per garantire che la stanza del server sia in conformità?

In particolare, dobbiamo applicare le seguenti procedure ai visitatori dell'ufficio:

  1. Identificazione dei visitatori con documento d'identità con foto emesso dal governo;
  2. Log di accesso del visitatore (timestamp, nome, azienda, sponsor);
  3. I visitatori devono essere sempre accompagnati dal loro sponsor;
  4. Accedi alla disconnessione del visitatore all'uscita.

La gestione è corretta con badge specifici del visitatore, ma considerando controlli aggiuntivi come eccessivo.

    
posta bagio 07.05.2015 - 22:46
fonte

1 risposta

1

Un po 'tardi a questa domanda, ma solo per il fatto che questo ha una sorta di "risposta" on-the-book:

La mia lettura del 9.4 si è sempre concentrata principalmente sull'elemento "visitatore", come tu intendi, e penso che l'elenco di quattro misure comuni-sensoriali che offri siano decisamente buone Ma, tenendo presente l'intento della regola , lasciate che ne suggerisca un'altra: per tutti i visitatori che il vostro ufficio non ha mai visto prima e che non possono garantire, mettetevi al telefono con i servizi che presumibilmente li hanno inviati (non usare numeri di telefono che danno, cercateli online) per verificare la loro identificazione, che sono un dipendente del servizio, e che qualcuno in ufficio si aspetta una visita da loro.L'appaltatore / lavoratore di terze parti che fa il suo ingresso nella struttura è una sorta di minaccia principale lo scenario a cui mira la regola.

Ma come hanno detto saggiamente i commentatori, chiedi al tuo QSA.

    
risposta data 18.09.2015 - 23:19
fonte

Leggi altre domande sui tag