PCI MFA (autenticación multifactor)

¿Cómo consigue una empresa el cumplimiento de la norma MFA PCI?

Todos los accesos desde entornos fuera del alcance al entorno dentro del alcance deben usar MFA. Por lo general, las empresas implementan un host de salto (bastión) en una VLAN a la que se puede acceder desde el entorno fuera de alcance. MFA se implementa para acceder al host de salto. Una vez que el usuario final se haya autenticado utilizando MFA para el host de salto, puede tener acceso directo a otros sistemas dentro del alcance usando solo el nombre de usuario / contraseña. Alternativamente, uno podría implementar MFA en el acceso a cualquier sistema dentro del alcance, pero esto no es tan simple.

¿Quién verifica este cumplimiento?

Dependiendo del volumen de transacciones que maneje su empresa y de su comerciante o proveedor de servicios, la validación puede realizarse mediante una autoevaluación o mediante una validación técnica en el sitio por parte de un QSA. Su adquirente debe indicar si puede realizar una autoevaluación o si necesita una evaluación de un QSA.

  

¿Cómo logra una compañía el cumplimiento de PCI MFA

El método más común es usar una contraseña única (OTP). RSA SecurID es un ejemplo bien conocido, y tiene tokens tanto de hardware como de software. Un token duro significa un pequeño dispositivo físico con una pantalla LCD que puede mostrar 6 dígitos. El token suave significa una aplicación de teléfono inteligente que hace lo mismo. Hay numerosas opciones de tokens disponibles en estos días, como Google Authenticator y Microsoft Authenticator .

Tenga en cuenta que para el cumplimiento de PCI, MFA solo es necesario para las conexiones de administrador.

  

¿Quién verifica este cumplimiento?

Según el tamaño de la organización (en $$$), el Asesor de seguridad calificado (QSA) que realiza la auditoría anual o el miembro de la organización que completa el Cuestionario de autoevaluación (SAQ).