En la respuesta a mi pregunta: Autenticación de dos factores para aplicación web bajo PCI DSS gowenfawr declaró:
He visto otros métodos utilizados para 2FA distintos a los que usted menciona; IP lista blanca y autenticación adaptativa específicamente. Si puedes convencer a tu auditor de que califica, estás listo.
Me pregunto si podemos usar la inclusión en la lista blanca de IP para acceder a nuestros servidores como el segundo método de autenticación. El requisito 8.6 de los estados de PCI DSS:
8.6 Cuando se utilizan otros mecanismos de autenticación (por ejemplo, tokens de seguridad físicos o lógicos, tarjetas inteligentes, certificados, etc.), El uso de estos mecanismos se debe asignar de la siguiente manera:
- Los mecanismos de autenticación deben asignarse a una cuenta individual y no se comparte entre varias cuentas.
¿Se permitiría la inclusión en la lista blanca de IP como método 2FA en esta situación, ya que los usuarios de sysadmin pueden compartir las IP cuando se conectan a nuestro CDE y otros servidores de alcance (es decir, la dirección IP pública de nuestra oficina)?