Insights > Blog

 

 

PCI-DSS em Data Center: importância e desafios

 

A integração da tecnologia vem crescendo no espaço do Data Center há vários anos, à medida que os operadores buscam soluções integradas modulares, que possam ser rapidamente implementadas, facilmente escaladas e eficientemente operadas.

A TI distribuída e a Internet das Coisas industrial (IoT) estão aproximando os recursos de TI dos usuários em localizações remotas e em plantas industriais. Embora o Data Center tradicional se mantenha fundamental para a distribuição de aplicações e serviços, cresce a cada dia a importância de micro Data Centers e network closets.

Network closet é o espaço onde equipamentos de rede gerenciáveis e operáveis remotamente são instalados. Essa tendência é confirmada pela crescente proliferação de sensores IoT e outros dispositivos que exigem acesso mais rápido à informação. Em resposta a essas mudanças, as corporações tendem a soluções pré-configuradas de micro Data Centers que suportam implementações rápidas. Outras respostas são a maior padronização e o gerenciamento remoto em localizações de TI distribuídas. Vale destacar que padronização e modularidade estão se tornando tão importantes nas localizações de TI distribuídas quanto são nos grandes Data Centers.

Somado a isto temos o fator da celeridade, a velocidade de entrada em operação é um dos principais impulsores das empresas que desenvolvem o grande volume da capacidade dos Data Centers. É nesse momento que entra a importância da Padronização tanto da Segurança da Informação quando da Infraestrutura em nível global, importância esta não somente para o PCI-DSS quanto para os diversos frameworks que temos no quesito “Conformidade” do GRC.

Frente a essa movimentação e celeridade, os clientes dos Data Centers têm sido cada vez mais exigentes no que tange a conformidade com padrões e práticas de mercado em relação à segurança da informação. Todo Data Center está interessado no desenvolvimento de negócios constante e atraindo os clientes corporativos das indústrias bancárias ou “retail industries”. Para atrair esses clientes, os Data Centers estão buscando pela certificação PCI-DSS anual.

Padrão de segurança de dados do setor de cartão de pagamento (PCI- DSS) é um padrão de segurança de informações para organizações que manipulam cartões de crédito de marca dos principais esquemas de cartão. Foi projetado para o benefício de sistemas de pagamento internacionais como Visa, MasterCard, American Express, JCB e Discover.

O padrão PCI DSS é um conjunto de requisitos de segurança para os dados do titular do cartão que são armazenados, transmitidos e processados nas infraestrutura de informação das organizações.

Explicando melhor a necessidade da conformidade e a padronização: atualmente, as grandes empresas tentam otimizar seus gastos com a manutenção e, assim, transferir seus servidores para os centros de dados externos. A maioria dessas grandes empresas deve atender aos requisitos padrão do PCI DSS pelo seu comércio. Portanto, eles devem armazenar seus dados em um centro que também está em conformidade com o padrão PCI DSS.

Com um certificado de conformidade com o padrão PCI DSS, aumentam sua atratividade e competitividade. E o mais importante é demonstrar sua preocupação com os clientes. Frequentemente os Data Centers são submetidos a inúmeras visitas anuais destes clientes e seus parceiros, realizando diligências e análise de fornecedores seguindo diversos checklists embasados nos inúmeros frameworks.

A certificação PCI-DSS atenua a necessidade das diligências, apresentando o certificado de conformidade para os clientes.

Entretanto, como dito mais acima, os Data Centers estão localizados em centros distribuídos e muitas vezes atendendo o mesmo cliente em diversas unidades (contingência), e esta distribuição traz a importância da padronização nas localizações distribuídas.

Os requisitos do PCI-DSS que são pertinentes ao Data Center que presta serviços de colocation pertencem a três principais grupos:

  • Requisito 9: Restringir o acesso físico aos dados do titular do cartão.
  • Requisito 11.1: Testar regularmente os sistemas e processos de segurança, no que tange a presença de pontos de acesso sem fio (802.11).
  • Requisito 12: Mantenha uma política que aborde a segurança da informação para todas as equipes.


Para o atendimento a estes requisitos, observa-se com frequência o desafio de integração entre as áreas envolvidas, principalmente: Processos, Segurança Física e Segurança da Informação. O projeto e a implementação do Data Center ganham integração e aceleração e muitas vezes a independência de gestão em cada localidade ganha frente à padronização.

Destaque para a Segurança Física, muitas vezes terceirizada – controles como CFTV, catracas e registros de visitantes obedecem diversos padrões culturais, inerentes á região a qual pertencem. E isto, acarreta na certificação como um todo.

Um Data Center global só obtém a certificação PCI-DSS se todos estes controles estiverem em conformidade em todas as unidades de Data Center. E nada melhor que uma boa padronização e integração, através de um comitê representado por estas áreas, para atender rapidamente à certificação e principalmente, mantê-la ao longo do ciclo anual.

*Por: Janaina Devus Creazzo – GRC manager LATAM – CIPHER.

Fonte: PCI Council e norma PCI-DSS.

 

 

0 Comments

Submit a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics