Rodrigo, boa noite!
Eu me atentaria a esses itens:
- Firewall bem configurado;
- Acesso remoto somente através de VPN, mediante a autorização do gerente da área e com termo de responsabilidade assinado;
- Não permitir que nenhuma máquina de terceiros (consultores) tenham acesso a sua rede, se precisarem de internet somente através de wireless isolada. Manutenção no sistema ou servidores utilizando equipamento local da empresa;
- GPOs no domínio para bloqueio de pendrives, complexidade de senhas, criptografia dos arquivos (efs);
- Configuração de perfil móvel;
- Antivírus configurado para scan diário, distribuição das vacinas centralizadas e com acesso negado a desativação por usuário final;
- File Server em volumes de storage e não local nos servidores;
- Definição dos processos da T.I. quem faz o que e como fazer;
- WSUS configurado na rede para distribuição dos updates dos servidores e estações de trabalho;
- Software e rotina de backup em dia, de preferência em disco local, fita e backup externo para deixar fora da empresa;
- Termo de responsabilidade, com as normas de T.I. da empresa assinado por todos;
- Data Center em sala isolada e com alto nível de segurança, exemplo: Acesso por biometria ou senha, portas ante chamas, detector de fumaça,etc
- Nobreak com autonomia de no mínimo 30 minutos;
- Gerador para fornecimento de energia em no máximo 5 minutos após a queda de energia, tempo suficiente para o nobreak segurar e não cair nada;
- Servidores com fontes redundantes, switches com fonte redundantes e switches redundantes + configuração de stacks;
- Portas dos switches que não estão em uso deixar em shutdown;
- Proibir que qualquer usuário, gerente ou diretor ligue qualquer equipamento na rede sem a autorização/validação do time de T.I.;
- Monitoramento dos ativos de rede, switch, servidores, storage;
Cara tem muita coisa, ainda mais por se tratar de empresas de cartão de crédito.
Esperto ter lhe ajudado com alguma coisa.
