¿Qué debo hacer para que una sala de servidores sea compatible con PCI-DSS?

Su sala de servidores debe ser físicamente segura, ya que es difícil entrar por la fuerza. Se debe utilizar alguna forma de autenticación de dos factores para identificar a las personas que desean ingresar. Esto comúnmente toma la forma de una clave de tarjeta RFID combinada con una verificación biométrica de algún tipo. Una vez que la persona se autentica, su identidad se verifica en una base de datos de autorización segura que indica si se les permite la entrada. Toda esta actividad debe registrarse y auditarse de forma segura.

Por supuesto, hay excepciones a esto. Si su empresa tiene 5 personas y su sala de servidores está dentro de su oficina detrás de puertas cerradas monitoreadas por un servicio de seguridad, probablemente puede omitir la pieza de biometría de autenticación de dos factores porque estaría haciendo su propia “biometría analógica” cada vez que mire fijamente un compañero de trabajo en la cara y reconocerlos como un colega y no un intruso cuando abren la puerta de la sala de servidores.

En cuanto a las estaciones de trabajo, en su mayoría están cubiertas por las reglas de acceso a la red PCI con respecto a la autenticación de dos factores, el formato de contraseña y las políticas de caducidad, y similares. No necesitan estar físicamente protegidos de la misma manera que sus servidores deben estar protegidos.

Finalmente, siempre que su equipo no compatible con PCI-DSS esté separado topológicamente de la red de su equipo compatible, no hay requisito de PCI de que estén físicamente separados. Esto significa que todo se puede conectar al mismo equipo siempre que estén virtualmente separados por VLAN y firewalls.

Related Content

¿Qué tipo de placa base (y SATA) necesito para usar 24 discos duros?

¿Qué es un servidor proxy y cómo lo uso para evitar mi WiFi de la universidad que ha bloqueado los sitios de torrents?

¿En qué punto tiene sentido la coubicación física de los servidores?

¿Cuál es la mejor manera de monitorear las búsquedas generales de disco por segundo en un servidor Linux?

¿Hay algún problema al usar Windows Server en casa, no en una empresa, como problemas de seguridad?

¿Cuáles son las implicaciones de privacidad del reconocimiento facial DeepFace de Facebook?

¿Quiénes son los mejores proveedores de servicios de centros de datos en India?

1. Ejecute todas las instancias de producción como máquinas virtuales (sin cifrar si es posible por razones técnicas)

2. Los hosts físicos están en una red completamente diferente y no enrutable que las máquinas virtuales.

3. Sí, puede alojar otros servidores no seguros, pero el costo de hacerlo es casi tanto como los seguros. Debido a que los elementos anteriores no son necesarios para mantener la red 100% físicamente separada, solo asegúrese de que no fluyan datos seguros a través de conexiones no seguras. Es decir, vm to vm o vm to net está bien, pero vm to host no lo está.

Mi trabajo con PetiteCloud está destinado a facilitar lo anterior (y otros casos de uso). PettiteCloud no es una verdadera plataforma en la nube, por lo que está despejada desde ese punto de vista. En la próxima versión agregaremos características específicamente destinadas a hacerlo más compatible con PCI-DSS y HIPAA.

Andrew Kuan

More Interesting

¿Qué tan grande es Evernote en términos de espacio de almacenamiento total?

¿Cuáles son algunas buenas sugerencias para apilar computadoras portátiles en una matriz de servidores?

¿Qué debo hacer para que una sala de servidores sea compatible con PCI-DSS?

¿Por qué se usa Linux comúnmente en los servidores?

¿Qué son exactamente los servidores y las bases de datos en términos de programación?

¿Qué características de Android causarían problemas al ejecutarlo como un sistema operativo de servidor?

¿Cuáles son las dificultades de ejecutar su propio servidor de correo?

¿Cuál es la arquitectura del servidor de Uber?

¿Cuándo debo usar Varnish, Litespeed, Nginx o Lighttpd?

¿Cuál es la diferencia entre el servidor web y el servidor de aplicaciones? ¿Cuál es más importante? ¿Cómo se comunican entre ellos?

¿Qué es un "VPS para-virtualizado", en qué se diferencia de un VPS virtualizado?

¿Cuál es la forma de desarrollar un sistema de inicio de sesión centralizado para servidores basados en Linux que utilizan SSH?

¿Cuál es la mejor manera de implementar una base de datos y un servidor diferentes para cada prueba en su conjunto de pruebas?

¿Es un servidor un dispositivo o un código de software?

¿La gestión de la configuración funciona para más de 500 servidores únicos?

Web Analytics