SF.1 Implementar controles de acceso físico en instalaciones y equipos de centros de datos y áreas relacionadas
Requisito SF.1 | Implementar controles de acceso físico a las instalaciones y equipos ubicados en los centros de datos y áreas relacionadas |
---|---|
Objetivo | Minimizar el riesgo de acceso no autorizado a los centros de datos (por ejemplo, recinto donde se almacenan los respaldos) y proteger las instalaciones y equipos contra robos, daños o mal uso. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Aclaraciones sobre arquitectura y estructura El sistema estructural del edificio debe ser de acero o de hormigón. Como mínimo, la estructura del edificio debe estar diseñada para soportar cargas de viento de acuerdo con los códigos de construcción aplicables para la ubicación en cuestión y de conformidad con las disposiciones de las estructuras designadas como instalaciones esenciales (por ejemplo, construcción de Clasificación III del Código Internacional de la Construcción). Las instalaciones eléctricas deben estar protegidas de forma tal que evite el contacto no deseado con humanos. Es deseable que la sala de energía esté separada de la sala de cómputo. Todo esto se complementa con el sistema de Video Vigilancia que debe existir y debe poder registrar toda actividad dentro del recinto. Aclaraciones sobre acceso físico El acceso al Centro de procesamiento de datos deberá estar asegurado y ser restringido. Para ello es requisito que los muros exteriores al recinto no tengan ventanas y se cuente con seguridad perimetral. Además, debe contar con sistemas cerrados de TV. Los activos del centro de procesamiento de datos deben estar protegidos con barreras físicas para prevenir daños, ya sea con o sin intención. Para esto se sugiere el uso de racks con puertas y cerraduras. Política de control de acceso físico y procedimientos Registro de accesos físicos En los casos donde el centro de procesamiento de datos sea en la nube, todos los controles deberán estar cubiertos por el proveedor, debiendo presentar certificaciones o constancias que avalen esto. |
Instituciones de salud | Perímetros Política de control de acceso físico Dispositivos médicos móviles |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría |
|
Normativa asociada | No aplica |