PIV / CAC para los requisitos del manutención de FedRAMP

0

Mi empresa está solicitando una P-ATO para la certificación FedRAMP. Hay un requisito obligatorio que no entiendo bien.

"¿Puede el sistema ser totalmente compatible con la autenticación de usuario mediante las credenciales de la Tarjeta de acceso común (CAC) o la Verificación de identidad personal (PIV) de la agencia?"

Hacemos software, y específicamente aplicaciones móviles. Nuestra aplicación nunca necesitaría un CAC o PIV para usuarios finales. Además, tenemos una configuración de autenticación de dos factores para nuestro inicio de sesión en nuestra plataforma en la nube (AWS), pero no puedo ver cómo / por qué usaríamos PIV o CAC.

¿Alguien ha encontrado esto antes y cómo manejarlo? Es obligatorio, así que suponiendo que tengo que lidiar con eso de alguna manera. Gracias!

    
pregunta Boss2000 09.07.2018 - 23:46
fuente

1 respuesta

0
  

"¿Puede el sistema ser totalmente compatible con la autenticación de usuarios a través de Agency Common   Tarjeta de acceso (CAC) o verificación de identidad personal (PIV)   credenciales? "

     

Hacemos software, y específicamente aplicaciones móviles. Nuestro   La aplicación nunca necesitaría un CAC o PIV para los usuarios finales. Además, nosotros   tenemos dos factores de configuración de autenticación para nuestro inicio de sesión en nuestra plataforma en la nube (AWS)   pero no puedo ver cómo / por qué usaríamos PIV o CAC.

La respuesta a la pregunta del "por qué" es: lo harás porque es obligatorio. ;)

En cuanto a la pregunta del "cómo": si su "sistema" ya admite algunas formas de autenticación de dos factores, es probable que no tenga demasiado para asistir a PIV / CAC, en principio. De hecho, cualquier computadora de escritorio vieja puede usar un lector de tarjetas PIV / CAC, ¿verdad? Si recuerdo correctamente, también puede instalar un teléfono móvil con lectores de tarjetas CAC ...

    
respondido por el hft 10.07.2018 - 04:32
fuente

Lea otras preguntas en las etiquetas