Por ejemplo, con la activación / registro de una tarjeta de crédito, se requiere que el usuario se autentique con un código único que se envió por correo a su dirección. Si no obtienen ese correo con el código, serían SOL.
Teniendo esto en cuenta, nos gustaría hacer un sistema de registro automático para un sitio en el que un posible solicitante de registro pueda iniciar sesión y registrarse de forma automática para crear una cuenta respondiendo con éxito alguna información de identificación personal (SSN, DOB, dirección, etc.). .) que ya tenemos archivados.
Obviamente, esto parece menos seguro que requerir ese elemento multifactorial del código de activación.
He revisado muchas hojas de trucos de autenticación de OWASP y he revisado las mejores prácticas de la industria de procesamiento de pagos y he pasado por alto el DSS de PCI, pero parece que no puedo encontrar algo que indique que el escenario en el que estamos planeando la implementación para el registro automático sería mínimamente "aceptable" o no conforme.
¿Alguna sugerencia?