PIV / CAC para los requisitos del manutención de FedRAMP

Question

PIV / CAC para los requisitos del manutención de FedRAMP

#1 de hft (0 votos)

0

Mi empresa está solicitando una P-ATO para la certificación FedRAMP. Hay un requisito obligatorio que no entiendo bien.

"¿Puede el sistema ser totalmente compatible con la autenticación de usuario mediante las credenciales de la Tarjeta de acceso común (CAC) o la Verificación de identidad personal (PIV) de la agencia?"

Hacemos software, y específicamente aplicaciones móviles. Nuestra aplicación nunca necesitaría un CAC o PIV para usuarios finales. Además, tenemos una configuración de autenticación de dos factores para nuestro inicio de sesión en nuestra plataforma en la nube (AWS), pero no puedo ver cómo / por qué usaríamos PIV o CAC.

¿Alguien ha encontrado esto antes y cómo manejarlo? Es obligatorio, así que suponiendo que tengo que lidiar con eso de alguna manera. Gracias!

web-application authentication

pregunta Boss2000 09.07.2018 - 23:46

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application authentication

¿Es seguro autorizar los complementos de esta manera? ¿Qué tan fuerte es la seguridad de las licencias de software en base a la lectura de las especificaciones de la computadora?

score 0 · Accepted Answer

"¿Puede el sistema ser totalmente compatible con la autenticación de usuarios a través de Agency Common   Tarjeta de acceso (CAC) o verificación de identidad personal (PIV)   credenciales? "

Hacemos software, y específicamente aplicaciones móviles. Nuestro   La aplicación nunca necesitaría un CAC o PIV para los usuarios finales. Además, nosotros   tenemos dos factores de configuración de autenticación para nuestro inicio de sesión en nuestra plataforma en la nube (AWS)   pero no puedo ver cómo / por qué usaríamos PIV o CAC.

La respuesta a la pregunta del "por qué" es: lo harás porque es obligatorio. ;)

En cuanto a la pregunta del "cómo": si su "sistema" ya admite algunas formas de autenticación de dos factores, es probable que no tenga demasiado para asistir a PIV / CAC, en principio. De hecho, cualquier computadora de escritorio vieja puede usar un lector de tarjetas PIV / CAC, ¿verdad? Si recuerdo correctamente, también puede instalar un teléfono móvil con lectores de tarjetas CAC ...