Mi empresa está solicitando una P-ATO para la certificación FedRAMP. Hay un requisito obligatorio que no entiendo bien.
"¿Puede el sistema ser totalmente compatible con la autenticación de usuario mediante las credenciales de la Tarjeta de acceso común (CAC) o la Verificación de identidad personal (PIV) de la agencia?"
Hacemos software, y específicamente aplicaciones móviles. Nuestra aplicación nunca necesitaría un CAC o PIV para usuarios finales. Además, tenemos una configuración de autenticación de dos factores para nuestro inicio de sesión en nuestra plataforma en la nube (AWS), pero no puedo ver cómo / por qué usaríamos PIV o CAC.
¿Alguien ha encontrado esto antes y cómo manejarlo? Es obligatorio, así que suponiendo que tengo que lidiar con eso de alguna manera. Gracias!