Conheça os requisitos técnicos de controle de acesso para data centers e critérios para seleção de sistemas em ambientes de missão crítica
Nenhum ambiente corporativo exige tanto das soluções de controle de acesso quanto um data center. A razão é simples: em um data center, o ativo protegido não é apenas físico, é a continuidade operacional de outras organizações, a integridade de dados sensíveis, a confiança de clientes que depositaram sua infraestrutura crítica ali. Uma falha no controle de acesso físico pode ser o ponto de entrada para um incidente de segurança da informação com consequências legais, contratuais e reputacionais de magnitude desproporcional ao evento físico que o causou.
Por isso, o projeto de controle de acesso para data centers obedece a uma lógica diferente da que se aplica a escritórios corporativos, fábricas ou centros logísticos. Não se trata apenas de controlar quem entra e quem sai. Trata-se de garantir que cada acesso seja devidamente autorizado, rastreado, documentado e auditável, em qualquer momento, para qualquer área, por qualquer auditor que precise verificar a conformidade com normas como TIA-942, ANSI/BICSI 002, ISO/IEC 27001 ou SOC 2. E mais: que o próprio sistema de controle de acesso nunca seja o ponto de falha que compromete a disponibilidade da operação.
Este artigo apresenta os requisitos técnicos e os critérios de seleção que precisam ser considerados ao especificar um sistema de controle de acesso para data centers, desde a classificação de áreas e níveis de segurança até a integração com outros sistemas críticos e as exigências de continuidade operacional. O conteúdo é dirigido a profissionais que já conhecem o ambiente e precisam de referência técnica para conduzir ou avaliar um projeto de maior complexidade.
O ponto de partida de qualquer projeto de controle de acesso para data center não é a escolha da tecnologia, é o mapeamento das áreas e a definição dos níveis de acesso correspondentes. Esse exercício, quando feito com rigor, determina a arquitetura do sistema, o número e o tipo de dispositivos de controle em cada ponto e a lógica de permissão que o software de gerenciamento precisa suportar.
A classificação mais comum em data centers divide o ambiente em pelo menos quatro zonas distintas. A zona pública compreende lobby, recepção e áreas de espera, acessíveis a qualquer visitante registrado, sem necessidade de credencial eletrônica além do cadastro no sistema de visitantes. A zona de suporte inclui salas de reunião, escritórios administrativos e áreas de facilities, acessíveis a colaboradores com crachá, com restrição por horário. A zona operacional cobre as áreas de NOC (Network Operations Center), salas de telecomunicações e áreas de infraestrutura predial, com acesso restrito a equipes técnicas específicas, com validação por biometria ou dupla autenticação. E a zona crítica compreende os white spaces, como os corredores de racks, salas de servidores e áreas de UPS e geração, onde o acesso deve ser controlado com o mais alto nível de rigor: biometria multifatorial, man-trap ou airlocks, e integração total com CFTV para verificação visual do acesso.
A definição dessas zonas precisa ser feita antes de qualquer especificação de hardware ou software, e precisa envolver os responsáveis pela segurança física, pela segurança da informação e pelo compliance da organização. Uma vez definidas as zonas e os critérios de acesso a cada uma delas, o projeto técnico pode ser desenvolvido com clareza de escopo.
A escolha da tecnologia de credencial para cada zona do data center é uma decisão de equilíbrio entre segurança e usabilidade operacional. Enquanto a zona pública pode ser gerenciada com crachás simples ou QR codes temporários, as zonas críticas exigem autenticação multifatorial, a combinação de dois ou mais fatores: algo que o usuário tem (cartão ou token), algo que o usuário é (biometria) e, em casos de altíssima criticidade, algo que o usuário sabe (PIN).
A biometria digital e facial são hoje as tecnologias mais adotadas em data centers de alta segurança. Ambas têm características distintas que influenciam a especificação. Leitores biométricos digitais oferecem alta precisão, são menos suscetíveis a condições ambientais adversas e têm custo de hardware mais acessível. Leitores faciais oferecem maior velocidade de processamento e não requerem contato físico, o que reduz problemas de higiene e desgaste mecânico. Em ambientes de alta segurança, a combinação de cartão + biometria ainda é a abordagem mais comum, pois adiciona uma camada de verificação que não pode ser delegada: a presença física do titular da credencial.
Uma funcionalidade que frequentemente define a escolha do sistema é a capacidade de gestão de credenciais em tempo real. Em data centers que atendem múltiplos clientes com equipes de TI que precisam acessar racks específicos para manutenção, a capacidade de criar e revogar credenciais com validade temporária, seja por data, por horário e por área específica, é um requisito operacional crítico. Isso exige que o sistema de controle de acesso tenha uma interface de gerenciamento ágil e, preferencialmente, integração com o sistema de tickets de suporte, de forma que a credencial de acesso seja gerada automaticamente quando um ticket de manutenção é aprovado e revogada quando o ticket é encerrado.
A especificação do sistema de controle de acesso para data centers não pode ser feita de forma isolada dos outros sistemas críticos do ambiente. A integração com o CFTV é a mais imediata e a mais impactante para a operação, mas há outras integrações que determinam a completude do projeto.
A integração com CFTV precisa ser nativa na plataforma, não uma conexão lateral desenvolvida por customização. Isso significa que qualquer evento de controle de acesso (acesso autorizado, acesso negado, antipassback, man-trap) dispara automaticamente uma ação no sistema de CFTV: direcionamento de câmera PTZ para o ponto do evento, início de gravação de alta prioridade, captura de imagem para associação ao log de acesso. O resultado é uma trilha de auditoria que não é apenas um log de texto, é um log visual, com a imagem associada a cada evento de acesso.
A integração com sistemas DCIM (Data Center Infrastructure Management) é relevante em data centers de maior complexidade, onde o controle de acesso precisa ser correlacionado com a alocação de racks por cliente. Quando um técnico de um cliente específico acessa o white space, o sistema precisa saber e registrar em qual rack ele tem autorização de trabalhar. Esse nível de granularidade não é entregue por um sistema de controle de acesso genérico; exige integração com o DCIM e configuração específica de regras de acesso por zona dentro do white space.
Para fins de conformidade, o sistema de controle de acesso precisa gerar relatórios exportáveis que atendam a critérios específicos. Em certificações SOC 2, por exemplo, o auditor verifica se o acesso às áreas críticas é restrito a pessoal autorizado, se os registros são íntegros e invioláveis, se credenciais de ex-funcionários são revogadas dentro de um prazo definido e se há revisão periódica dos níveis de acesso. O sistema precisa ser capaz de responder a cada uma dessas perguntas com dados precisos.
Em um data center, o sistema de controle de acesso não pode ser o ponto de falha que compromete a operação. Se o servidor central de gerenciamento de acesso cai às 2h da manhã, a resposta não pode ser "as portas ficaram destravadas até o técnico chegar". Essa situação representa, simultaneamente, uma falha de segurança (acesso irrestrito à área crítica) e uma violação de conformidade (evento não registrado).
Os requisitos de continuidade para o sistema de controle de acesso de um data center incluem: controladores com processamento e armazenamento local, capazes de manter as últimas regras de acesso sincronizadas e continuar operando em modo standalone por tempo indeterminado em caso de falha de comunicação com o servidor; servidores de gerenciamento com configuração de alta disponibilidade (HA) e failover automático; fontes de alimentação redundantes para todos os controladores de acesso em zonas críticas; e cabos de comunicação em rotas distintas para controladores em pontos críticos separados.
A definição de fail-safe vs. fail-secure para cada porta é uma decisão crítica do projeto. Portas em modo fail-safe destravam em caso de falha de energia, que é o padrão para rotas de evacuação de emergência. Portas em modo fail-secure permanecem travadas em caso de falha de energia, que é o padrão para zonas críticas onde a segurança física tem prioridade sobre o acesso de emergência. Essa decisão precisa ser tomada porta a porta, com envolvimento do responsável pela segurança física, pelo CISO e pela equipe de facilities e documentada no projeto executivo.
A especificação de um sistema de controle de acesso para data centers é uma das decisões técnicas mais complexas e de maior impacto estratégico em um projeto de segurança física. As escolhas feitas nessa fase determinam não apenas o nível de segurança entregue no dia da abertura, mas a capacidade da operação de manter esse nível ao longo do tempo, com a robustez necessária para passar por auditorias, responder a incidentes e suportar a evolução do ambiente.
O erro mais frequente nesse tipo de projeto é tratar o controle de acesso como uma linha de especificação técnica dentro de um projeto maior, sem que as decisões de arquitetura sejam tomadas com a devida profundidade antes da especificação de hardware. O sistema de controle de acesso de um data center não é um produto, mas uma plataforma operacional que precisa ser projetada com a mesma seriedade que a infraestrutura elétrica ou a refrigeração.
Organizações que investem nessa profundidade de projeto na fase inicial economizam significativamente nas fases de operação e conformidade e eliminam o risco de ter que refazer decisões críticas depois que os racks já estão em operação.
Está especificando ou revisando o sistema de controle de acesso do seu data center? A IB Tecnologia tem experiência em mais de 1.000.000m² de data centers integrados no Brasil e na América Latina. Nossa equipe técnica conduz diagnósticos completos de arquitetura de segurança física, do controle de acesso à plataforma de integração. Fale com um especialista.
Leia também:
Segurança eletrônica para data centers: requisitos técnicos e boas práticas para proteção de infraestruturas críticas
Governança de sistemas integrados em ambientes auditáveis: como estruturar segurança eletrônica para compliance e controle
Integração multi-site em segurança eletrônica: como monitorar e controlar operações distribuídas na américa latina
