C'è una sala server che fa parte dell'ambiente PCI e si trova all'interno dell'ufficio. L'accesso alla stanza del server è controllato secondo PCI Requisito 9 DSS: " Limita l'accesso fisico ai dati dei titolari di carta " (lucchetto, badge, tastiera, telecamere ecc.).
Domanda: dobbiamo applicare il controllo a livello di ufficio per soddisfare il requisito 9.4 " Implementare procedure per identificare e autorizzare i visitatori. " per garantire che la stanza del server sia in conformità?
In particolare, dobbiamo applicare le seguenti procedure ai visitatori dell'ufficio:
- Identificazione dei visitatori con documento d'identità con foto emesso dal governo;
- Log di accesso del visitatore (timestamp, nome, azienda, sponsor);
- I visitatori devono essere sempre accompagnati dal loro sponsor;
- Accedi alla disconnessione del visitatore all'uscita.
La gestione è corretta con badge specifici del visitatore, ma considerando controlli aggiuntivi come eccessivo.