Здравствуйте, уважаемые коллеги!
Банк планирует развернуть у себя ин-хаус бюро персонализации. Совсем недавно (в мае 2013) PCI SSC выпустили по этому поводу 2 интересных документа PCI Card Production Physical Security Requirements и PCI Card Production Logical Security Requirements, регламентирующих, соответственно, физическую и логическую безопасность персобюро (доступны на оф.сайте pcisecuritystandards.org).
Если следовать Physical Security Requirements, то каждой выполняемой функции фактически соответствует отдельное помещение. Для себя мы насчитали их 6:
1. Помещение для предварительной печати;
2. Помещение для хранения подготовленных к выдаче карт;
3. Помещение для уничтожения карт и конвертов;
4. Помещение для печати ПИН-конвертов;
5. Серверная / комната администратора ИБ (в пределах персонализации);
6. Хранилище.
А теперь, собственно, вопрос: Необходимо ли слепо следовать требованиям или же можно, допустим, вместо шлюза использовать железную дверь, вместо хранилища – сейф, ПИНы и карты, понятное дело, печатать отдельно (непрозрачной пластиковой перегородкой разделить), а все остальные штуки проделывать в одном общем помещении? Или же, раз это «требования», то нужно им следовать на 100%?
Может быть, кто-нибудь сталкивался уже?
Не очень хочется связываться с перепланировкой, да и эмиссия у банка не такая большая, чтобы здание внутри здания строить.
Банк планирует развернуть у себя ин-хаус бюро персонализации. Совсем недавно (в мае 2013) PCI SSC выпустили по этому поводу 2 интересных документа PCI Card Production Physical Security Requirements и PCI Card Production Logical Security Requirements, регламентирующих, соответственно, физическую и логическую безопасность персобюро (доступны на оф.сайте pcisecuritystandards.org).
Если следовать Physical Security Requirements, то каждой выполняемой функции фактически соответствует отдельное помещение. Для себя мы насчитали их 6:
1. Помещение для предварительной печати;
2. Помещение для хранения подготовленных к выдаче карт;
3. Помещение для уничтожения карт и конвертов;
4. Помещение для печати ПИН-конвертов;
5. Серверная / комната администратора ИБ (в пределах персонализации);
6. Хранилище.
А теперь, собственно, вопрос: Необходимо ли слепо следовать требованиям или же можно, допустим, вместо шлюза использовать железную дверь, вместо хранилища – сейф, ПИНы и карты, понятное дело, печатать отдельно (непрозрачной пластиковой перегородкой разделить), а все остальные штуки проделывать в одном общем помещении? Или же, раз это «требования», то нужно им следовать на 100%?
Может быть, кто-нибудь сталкивался уже?
Не очень хочется связываться с перепланировкой, да и эмиссия у банка не такая большая, чтобы здание внутри здания строить.
Комментарий