Seguendo questo link: link
Tutto quello che capisco è questo:
In che modo un'azienda raggiunge l'AMM PCI di conformità e in particolare chi controlla questa conformità?
In che modo un'azienda raggiunge l'MFA PCI conforme?
Tutti gli accessi dagli ambienti esterni all'ambiente in ambito devono utilizzare MFA. In genere, le aziende distribuiscono un host di salto (bastione) in una VLAN accessibile dall'ambiente fuori ambito. L'MFA è implementato per accedere all'host jump. Una volta che l'utente finale si è autenticato tramite MFA sull'host di salto, può avere accesso diretto ad altri sistemi in ambito utilizzando solo nome utente / password. In alternativa, è possibile implementare MFA sull'accesso a qualsiasi sistema nell'ambito, ma ciò non è così semplice.
Chi controlla questa conformità?
A seconda del volume delle transazioni gestite dalla tua azienda e del tuo livello di commerciante o fornitore di servizi, la convalida può avvenire attraverso l'autovalutazione o attraverso la convalida tecnica sul posto da parte di un QSA. L'acquirente dovrebbe indicare se è possibile autovalutare o richiedere una valutazione da parte di un QSA.
How does a Company achieve compliance PCI MFA
Il metodo più comune è utilizzare una password One Time (OTP). RSA SecurID è un esempio ben noto e ha sia token hard che soft. Token duro indica un piccolo dispositivo fisico con un display LCD che può visualizzare 6 cifre. Token morbido significa un'app per smartphone che fa la stessa cosa. Al momento sono disponibili numerose opzioni di token software, come Google Authenticator e Microsoft Authenticator .
Nota che per la conformità PCI, l'MFA è richiesto solo per le connessioni dell'amministratore.
who checks this compliance?
A seconda delle dimensioni dell'organizzazione (in $$$), il Qualified Security Assessor (QSA) che esegue l'audit annuale o il membro dell'organizzazione che compila il Self Assessment Questionnaire (SAQ).
Leggi altre domande sui tag pci-dss