Nella risposta alla mia domanda: Autenticazione a due fattori per l'applicazione Web sotto PCI DSS gowenfawr ha dichiarato:
I have seen other methods used for 2FA than those you mention; IP whitelisting and adaptive authentication specifically. If you can convince your auditor it qualifies, you're all set.
Mi chiedo se possiamo utilizzare la whitelist IP per l'accesso ai nostri server come secondo metodo di autenticazione. Requisito 8.6 degli stati PCI DSS:
8.6 Where other authentication mechanisms are used (for example, physical or logical security tokens, smart cards, certificates, etc.), use of these mechanisms must be assigned as follows:
- Authentication mechanisms must be assigned to an individual account and not shared among multiple accounts.
La whitelist IP consentita come metodo 2FA in questa situazione, in quanto gli utenti sysadmin potrebbero condividere gli IP quando si connettono al nostro CDE e ad altri server nell'ambito (cioè l'indirizzo IP pubblico del nostro ufficio)?