PCI DSS 8.3 è indicato come segue
8.3 Incorporate two-factor authentication for remote network access originating from outside the network by personnel (including users and administrators) and all third parties, (including vendor access for support or maintenance). Two-factor authentication requires that two of the three authentication methods (see Requirement 8.2 for descriptions of authentication methods) be used for authentication. Using one factor twice (for example, using two separate passwords) is not considered two-factor authentication. Examples of two-factor technologies include remote authentication and dial-in service (RADIUS) with tokens; terminal access controller access control system (TACACS) with tokens; and other technologies that facilitate two-factor authentication.
8.2 elenca i metodi di autenticazione di esempio:
- Something you know, such as a password or passphrase
- Something you have, such as a token device or smart card
- Something you are, such as a biometric.
Siamo un fornitore di servizi e se disponiamo di un'applicazione web che gli utenti non consumatori useranno per gestire il proprio account, sarà necessario proteggerlo con 2FA? La procedura di test specifica che ciò serve a proteggere l'ambiente dei dati dei titolari di carta (enfasi mia):
8.2 To verify that users are authenticated using unique ID and additional authentication (for example, a password/phrase) for access to the cardholder data environment, perform the following:
- Examine documentation describing the authentication method(s) used.
- For each type of authentication method used and for each type of system component, observe an authentication to verify authentication is functioning consistent with documented authentication method(s).
Poiché l'applicazione Web non fornisce l'accesso al CDE (né si trova nel CDE), è necessario proteggerlo con 2FA in PCI DSS?
Per sicurezza sarebbe una buona idea farlo, tuttavia abbiamo richiesto a?
Se è così suppongo che l'opzione più semplice sarebbe quella di emettere certificati client.