Многофакторная аутентификация, совместимая с PCI DSS 3.2

1 февраля 2018 года вступает в силу требование 8.3 стандарта безопасности данных индустрии платежных карт , что делает многофакторную аутентификацию обязательной для неконсольного доступа к компьютерам и системам, обрабатывающим данные держателей карт, и удаленный доступ к держателю карты среды данных (CDE). Ранее в этом году Совет по стандартам безопасности PCI также выпустил руководство для многофакторных реализаций аутентификации.

PCI DSS 3.2

PCI DSS применяется ко всем организациям, участвующим в обработке платежных карт, включая торговцев, процессоров, приобретателей, эмитентов и поставщиков услуг. Он также применяется ко всем другим объектам, которые хранят, обрабатывают или передают данные держателя карты или конфиденциальные данные аутентификации.

С момента выпуска PCI DSS были выпущены два основных релиза, версия 2.0 в ноябре 2010 года и 3.0 в октябре 2013 года. Самый последний подпункт версии 3.2 был опубликован в апреле 2016 года и содержит несколько новых требований, которые рассматриваются передовой практики до 31 января 2018 года, после чего они становятся обязательными. Эти изменения гарантируют, что стандарты соответствуют современным угрозам и изменениям на рынке. Наиболее существенным изменением является пересмотренное Требование 8.3 относительно многофакторной аутентификации. Некоторые из этих изменений происходят в ответ на крупные инциденты с хакерами в США, включая нарушения данных Target и Home Depot, где хакеры получили имена, номера кредитных карт и другую информацию о миллионах людей.

Требование 8.3 и многофакторная аутентификация

Первым изменением требования 8.3 является введение термина «многофакторная аутентификация», а не предыдущий термин «двухфакторная аутентификация», поскольку могут использоваться два или более факторов. Изменяя эту терминологию, минимальные требования становятся двумя факторами аутентификации.

Второе и основное изменение заключается в том, чтобы расширить Требование 8.3 на две подзадачи, чтобы потребовать многофакторную аутентификацию для всего персонала с неконсольным административным доступом и всех сотрудников с удаленным доступом к CDE.

Новое требование 8.3.1 рассматривает многофакторную аутентификацию для всего персонала с неконсольным административным доступом к CDE, где «неконсольный доступ» относится к логическому доступу, который происходит по сети, а не через прямое физическое соединение, включая доступ из внутри внутренних сетей, а также доступ из внешних или удаленных сетей.

Новое Требование 8.3.2 включает прежнее Требование 8.3 и рассматривает многофакторную аутентификацию для всего персонала, имеющего удаленный доступ к CDE. Это требование предназначено для всех сотрудников, включая общих пользователей, администраторов и поставщиков (для поддержки и обслуживания) с удаленным доступом к сети, где этот удаленный доступ может привести к доступу к CDE.

Руководство по многофакторной аутентификации

Со времени изменения требования 8.3 Совет по стандартам безопасности PCI получил ряд вопросов о том, как должны быть реализованы различные факторы, как от организаций, планирующих внедрить MFA, так и экспертов по оценке безопасности, оценивающих реализацию MFA. Чтобы ответить на эти вопросы, Совет опубликовал Информационное дополнение - Многофакторную аутентификацию версии 1.0, чтобы описать принятые в отрасли принципы и передовые методы реализации МФА, в том числе:

В последнем разделе Совет рассматривает общие сценарии аутентификации и соображения для многофакторной аутентификации.

1.Факторы аутентификации

Для многофакторной аутентификации требуется использование по меньшей мере двух из трех факторов аутентификации, как описано в Требовании PCI DSS 8.2:

Этот сектор уже полностью осознает это определение, но они по-прежнему борются с тем, как реализовать эти различные факторы аутентификации.

PCI SSC также упоминает другие факторы: «Другие типы информации, такие как геолокация и время, могут быть дополнительно включены в процесс аутентификации; однако, по крайней мере, два из трех факторов, указанных выше, должны всегда использоваться. Например, данные геолокации и времени могут использоваться для ограничения удаленного доступа к сети субъекта в соответствии с графиком работы человека. Хотя использование этих дополнительных критериев может еще больше снизить риск захвата аккаунта или вредоносной активности, метод удаленного доступа по-прежнему требует аутентификации по крайней мере из двух следующих факторов: что-то, что вы знаете, что-то, что у вас есть, и что-то, что вы есть ».

2. Независимость факторов аутентификации

MFA следует внедрять с механизмами аутентификации, которые не зависят друг от друга, чтобы избежать доступа к одному из факторов, предоставляющего доступ к любому другому фактору, а компромисс одного фактора не влияет на целостность или конфиденциальность любого другого фактора.

Некоторые из ошибок, описанных PCI SSC:

3.Защита факторов аутентификации 

Чтобы избежать злоупотребления факторами аутентификации, они должны быть защищены от несанкционированного доступа и использования, как определено в Требовании PCI DSS 8. Кроме того, «когда любые элементы аутентификации полагаются на универсальное потребительское устройство - например, мобильные телефоны и планшеты - также должны быть предусмотрены средства контроля, чтобы снизить риск взлома устройства ».

4. Многоступенчатый и многофакторный 

PCI DSS требует, чтобы все факторы в многофакторной аутентификации проверялись вместе до получения доступа к системе. Если пользователь может получить информацию об успехе или неудаче, прежде чем все факторы будут представлены, общий процесс аутентификации станет многоступенчатой  однофакторной аутентификацией, даже если для каждого шага используется другой фактор. Это не соответствует требованиям многофакторной аутентификации.

5. Общие сценарии аутентификации 

В последнем разделе этого информационного дополнения PCI SSC описывает четыре сценария многофакторной аутентификации, которые уточняют различные условия для факторов аутентификации и как их лучше всего реализовать.

Вывод

Менее чем за три месяца до вступления в силу требований PCI DSS 8.3 вступает в действие. эксперты убеждены, что информационное приложение - многофакторная аутентификация версии 1.0 является хорошей отправной точкой при подготовке к обзору, внедрению или обновлению многофакторных решений аутентификации.



СОВИТ

Аналитика

Архив

Новости

Архив