Comments 2
Есть ли какие-то требования со стороны стандарта к реализации двухфакторной аутентификации? Например:
— список разрешенных методов аутентификации
— требования к сертификации софта, реализующего аутентификацию или можно использовать самописный/opensource
— архитектурные требования
и т.д.
Новый стандарт не ограничивает возможности реализации, а предлагает подходы для более надежной аутентификации. Производителям ПО и аппаратных средств рекомендуется следовать рекомендациям https://www.pcisecuritystandards.org/pdfs/Multi-Factor-Authentication-Guidance-v1.pdf (и других сопутствующих документах) для обеспечения совместимости и повышения безопасности, в частности, в том, что касается MFA, должны быть одновременно использованы не меньше 2 факторов из списка:
a) Something you know, such as a password or passphrase. This method involves verification of
information that a user provides, such as a password/passphrase, PIN, or the answers to secret
questions (challenge-response).
b) Something you have, such as a token device or smartcard. This method involves verification of a
specific item a user has in their possession, such as a physical or logical security token, a one-time
password (OTP) token, a key fob, an employee access card, or a phone’s SIM card. For mobile
authentication, a smartphone often provides the possession factor in conjunction with an OTP app or
a cryptographic material (i.e., certificate or a key) residing on the device.
c) Something you are, such as a biometric. This method involves verification of characteristics inherent
to the individual, such as via retina scans, iris scans, fingerprint scans, finger vein scans, facial
recognition, voice recognition, hand geometry, and even earlobe geometry.
Дополнительно могут быть использованы данные о местоположении, времени или другие факторы.
Как обеспечить соблюдение требований PCI DSS 3.2