Autenticación de dos factores para la aplicación web bajo PCI DSS

Navega tus respuestas
0

PCI DSS 8.3 se indica a continuación

  

8.3 Incorpore autenticación de dos factores para el acceso remoto a la red que se origina desde fuera de la red por parte del personal (incluidos los usuarios y   administradores) y todos los terceros (incluido el acceso de proveedores para   soporte o mantenimiento).   La autenticación de dos factores requiere que dos de los tres   métodos de autenticación (ver Requisito 8.2 para descripciones de   métodos de autenticación) ser utilizados para la autenticación. Usando un factor   dos veces (por ejemplo, usar dos contraseñas separadas) no se considera   Autenticación de dos factores. Ejemplos de tecnologías de dos factores incluyen   Autenticación remota y servicio de acceso telefónico (RADIUS) con tokens;   controlador de acceso a terminal, sistema de control de acceso (TACACS) con tokens;   y otras tecnologías que facilitan la autenticación de dos factores.

8.2 enumera métodos de autenticación de ejemplo:

  
  • Algo que sepa, como una contraseña o frase de contraseña
    •   
  • Algo que tiene, como un dispositivo de token o una tarjeta inteligente
    •   
  • Algo que eres, como un biométrico.
    •   

Somos un proveedor de servicios y si tenemos una aplicación web que los usuarios no consumidores utilizarán para administrar su cuenta, ¿será necesario que esto esté protegido por 2FA? El procedimiento de prueba especifica que esto es para proteger el Entorno de datos del titular de la tarjeta (el énfasis es mío):

  

8.2 Para verificar que los usuarios se autentiquen mediante una ID única y una autenticación adicional   (por ejemplo, una contraseña / frase) para acceder a los datos del titular de la tarjeta   entorno , realice lo siguiente:

     
  • Examine la documentación que describe los métodos de autenticación utilizados.
    •   
  • Para cada tipo de método de autenticación utilizado y para cada tipo de componente del sistema, observe una autenticación para verificar que la autenticación funciona de manera coherente con los métodos de autenticación documentados.
    •   

Como la aplicación web no proporciona acceso al CDE (ni está situado en el CDE), ¿necesitamos proteger esto con 2FA bajo PCI DSS?

Por razones de seguridad, sería una buena idea hacer esto, sin embargo, ¿estamos obligados a?

Si es así, supongo que la opción más fácil sería emitir certificados de cliente.

    
pregunta SilverlightFox 26.01.2015 - 12:51
fuente

1 respuesta

1

¿Qué hace la aplicación web? Haga las siguientes preguntas:

  • ¿"Almacena, procesa o transmite datos del titular de la tarjeta"?
  • ¿Está en la misma red que un servidor que lo hace?
  • ¿Puede conectarse a las bases de datos que almacenan los datos del titular de la tarjeta para otras aplicaciones?
  • Si está comprometido, ¿"afectaría la seguridad del CDE"?

Si es así, está en su CDE "en alcance" para su evaluación de DSS y está sujeto a 8.2. Si no, entonces no.

Se supone que debes determinar lo que está dentro y fuera del alcance cada año:

  

la entidad evaluada debe confirmar la precisión de su alcance de PCI DSS   identificando todas las ubicaciones y flujos de datos de titulares de tarjetas y asegurando   están incluidos en el alcance de las PCI DSS.

y

  

La entidad conserva la documentación que muestra cómo estaba el alcance de las PCI DSS   determinado. La documentación se conserva para la revisión del asesor y / o   para referencia durante la próxima confirmación de alcance anual de PCI DSS   actividad.

Entonces, mida su servidor de aplicaciones web contra la discusión en las páginas 10 y 11 de PCI DSS 3.0 . Si no cree que esté dentro del alcance, no es necesario que tenga 2FA bajo DSS 3.0 8.2. Mantenga un registro de su determinación de alcance para la auditoría, en caso de que califique para una.

En cuanto a la implementación, he visto otros métodos utilizados para 2FA además de los que usted menciona; IP lista blanca y autenticación adaptativa específicamente. Si puedes convencer a tu auditor de que califica, estás listo.

    
respondido por el gowenfawr 26.01.2015 - 13:18
fuente

Lea otras preguntas en las etiquetas

WEP man in the middle (spp_sdf) Alertas combinadas SDF en Snort