A integração da tecnologia vem crescendo no espaço do Data Center há vários anos, em função da procura por soluções modulares, que possam ser rapidamente implementadas, facilmente escaladas e eficientemente operadas.

A TI distribuída e a Internet das Coisas (IoT) estão aproximando os recursos de tecnologia dos usuários em localizações remotas e em plantas industriais. Embora o Data Center tradicional se mantenha fundamental para a distribuição de aplicações e serviços, cresce a cada dia a importância de micro Data Centers e Network Closets.

Network Closet é o espaço onde os equipamentos de rede gerenciáveis e operáveis remotamente são instalados.  Essa tendência é confirmada pela crescente proliferação de sensores IoT e outros dispositivos que exigem acesso ágil à informação. Em resposta a essas mudanças, as corporações buscam soluções pré-configuradas de micro Data Centers que suportam implementações rápidas. Outras respostas são a padronização e o gerenciamento remoto em localizações de TI distribuídas. Vale destacar que padronização e modularidade estão se tornando tão importantes nas localizações de TI distribuídas quanto são nos grandes Data Centers.

A velocidade de entrada em operação é um dos principais impulsores das empresas que desenvolvem o grande volume da capacidade dos Data Centers. Porém, para garantir eficiência nestas operações, a padronização da Segurança da Informação e das infraestruturas distribuídas em nível global tem grande importância para os diversos frameworks de conformidade do GRC (gestão de governança, riscos e compliance), incluindo o PCI-DSS.

A certificação PCI-DSS é o padrão de segurança de informações em meios de pagamento internacionais, para organizações que manipulam as principais bandeiras de cartões de crédito – como Visa, MasterCard, American Express, JCB e Discover.

Por isso, os clientes dos Data Centers têm sido cada vez mais exigentes no que tange a conformidade com padrões e práticas de mercado para a Segurança da Informação. O padrão PCI-DSS reúne requisitos de segurança para os dados (do titular do cartão) que são armazenados, transmitidos e processados nas infraestruturas de informação das organizações.

Atualmente, as grandes empresas tentam otimizar seus gastos com manutenção e, assim, transferir seus servidores para os centros de dados externos. A maioria delas deve atender aos requisitos padrão do PCI-DSS. Portanto, devem armazenar seus dados em um centro que também esteja em conformidade com o padrão. Por sua vez, para desenvolver novos negócios e atrair clientes corporativos das indústrias bancárias ou varejo, por exemplo, os Data Centers estão buscando pela certificação PCI-DSS anual.

O certificado de conformidade com o padrão PCI-DSS aumenta a competitividade das empresas que o adotam. Por um lado, a certificação atenua a necessidade das auditorias anuais e análise de fornecedores, seguindo checklists embasados em inúmeros frameworks, já que o certificado representa o mesmo tipo de análise. Por outro, aumenta também a percepção de confiabilidade – na medida em que a empresa demonstra sua preocupação com a segurança da informação dos clientes.

Entretanto, os Data Centers estão localizados em centros distribuídos e, muitas vezes, atendem o mesmo cliente em diversas unidades (contingência) Esta distribuição reforça a importância da padronização nas localizações distribuídas. Os requisitos do PCI-DSS pertinentes ao Data Center que presta serviços de colocation pertencem a três principais grupos:

  • Requisito 9: Restringir o acesso físico aos dados do titular do cartão;
  • Requisito 11.1: Testar regularmente os sistemas e processos de segurança, no que tange a presença de pontos de acesso sem fio (802.11);
  • Requisito 12: Manter uma política que aborde a segurança da informação para todas as equipes.

Para o atendimento a estes requisitos, observa-se com frequência o desafio de integração entre as áreas envolvidas, principalmente processos, segurança física e segurança da informação. Destaque para a Segurança Física, que muitas vezes terceirizada pode comprometer a certificação. Controles como CFTV, catracas e registros de visitantes obedecem diversos padrões culturais, inerentes a região a qual pertencem. Um Data Center global só obtém a certificação PCI-DSS se todos estes controles estiverem em conformidade em todas as unidades.

Para uma boa padronização e integração de unidades, é crucial estabelecer um Comitê representado por estas áreas, para atender rapidamente a certificação e principalmente, mantê-la ao longo do ciclo anual.

Janaína Devus é PCI-QSA membro da equipe de Governança, Risco e Compliance da CIPHER.