Autenticazione a due fattori per l'applicazione Web in PCI DSS

0

PCI DSS 8.3 è indicato come segue

8.3 Incorporate two-factor authentication for remote network access originating from outside the network by personnel (including users and administrators) and all third parties, (including vendor access for support or maintenance). Two-factor authentication requires that two of the three authentication methods (see Requirement 8.2 for descriptions of authentication methods) be used for authentication. Using one factor twice (for example, using two separate passwords) is not considered two-factor authentication. Examples of two-factor technologies include remote authentication and dial-in service (RADIUS) with tokens; terminal access controller access control system (TACACS) with tokens; and other technologies that facilitate two-factor authentication.

8.2 elenca i metodi di autenticazione di esempio:

  • Something you know, such as a password or passphrase
  • Something you have, such as a token device or smart card
  • Something you are, such as a biometric.

Siamo un fornitore di servizi e se disponiamo di un'applicazione web che gli utenti non consumatori useranno per gestire il proprio account, sarà necessario proteggerlo con 2FA? La procedura di test specifica che ciò serve a proteggere l'ambiente dei dati dei titolari di carta (enfasi mia):

8.2 To verify that users are authenticated using unique ID and additional authentication (for example, a password/phrase) for access to the cardholder data environment, perform the following:

  • Examine documentation describing the authentication method(s) used.
  • For each type of authentication method used and for each type of system component, observe an authentication to verify authentication is functioning consistent with documented authentication method(s).

Poiché l'applicazione Web non fornisce l'accesso al CDE (né si trova nel CDE), è necessario proteggerlo con 2FA in PCI DSS?

Per sicurezza sarebbe una buona idea farlo, tuttavia abbiamo richiesto a?

Se è così suppongo che l'opzione più semplice sarebbe quella di emettere certificati client.

    
posta SilverlightFox 26.01.2015 - 12:51
fonte

1 risposta

1

Che cosa fa l'applicazione web? Poni le seguenti domande:

  • "memorizza, elabora o trasmette i dati di titolari di carta"?
  • Si trova sulla stessa rete di un server?
  • Può connettersi a database che memorizzano dati di titolari di carta per altre applicazioni?
  • Se compromesso, inciderebbe "sulla sicurezza del CDE"?

Se è così, è nel tuo CDE "nell'ambito" per la tua valutazione DSS ed è soggetto a 8.2. Se no, allora no.

Dovresti determinare cosa c'è dentro e fuori dall'ambito di applicazione ogni anno:

the assessed entity should confirm the accuracy of their PCI DSS scope by identifying all locations and flows of cardholder data and ensuring they are included in the PCI DSS scope.

e

The entity retains documentation that shows how PCI DSS scope was determined. The documentation is retained for assessor review and/or for reference during the next annual PCI DSS scope confirmation activity.

Quindi, misura il tuo server di applicazioni web contro la discussione alle pagine 10 e 11 del PCI DSS 3.0 . Se non si ritiene che sia nell'ambito, non è necessario disporre di 2FA in DSS 3.0 8.2. Tieni un registro della tua determinazione dell'ambito per l'audit, nel caso in cui ti qualifichi per uno.

Per quanto riguarda l'implementazione, ho visto altri metodi usati per 2FA rispetto a quelli che hai menzionato; Whitelist IP e autenticazione adattiva specificamente. Se riesci a convincere il tuo auditor a qualificarsi, sei pronto.

    
risposta data 26.01.2015 - 13:18
fonte

Leggi altre domande sui tag