Hay una sala de servidores que forma parte del entorno PCI y está ubicada dentro de la oficina. El acceso a la sala de servidores se controla de acuerdo con PCI Requisito 9 del DSS: " Restrinja el acceso físico a los datos del titular de la tarjeta " (candado, placa, teclado, cámaras, etc.).
Pregunta: Necesitamos aplicar el control en toda la oficina para satisfacer el requisito 9.4 " Implementar procedimientos para identificar y autorizar a los visitantes. " para garantizar que la sala de servidores esté en cumplimiento?
Específicamente, ¿debemos aplicar los siguientes procedimientos a visitantes habituales de la oficina:
- Identificación del visitante con una identificación con foto emitida por el gobierno;
- Registro de inicio de sesión del visitante (marca de tiempo, nombre, empresa, patrocinador);
- El visitante será acompañado todo el tiempo por su patrocinador;
- Registro de cierre de sesión del visitante al salir.
La administración está bien con los distintivos específicos del visitante, pero considera los controles adicionales como una exageración.