Требования в отношении применения средств многофакторной аутентификации для дополнительных групп пользователей, а также необходимость в интеграции дополнительных систем напрямую продиктованы опубликованным ранее дополнительным руководством PCI Supplementary Guidance, которое вступает в силу с февраля 2018 года. С этого момента все пользователи, осуществляющие доступ к таким системам как базы данных, сетевые модули или почтовые серверы, где содержатся данные держателей банковских карт, будут обязаны применять многофакторную аутентификацию. Новое руководство применимо ко всем ролям и локациям: привилегированным и обычным пользователям, удаленным и локальным пользователям.
Мы уже обсуждали новейшие изменения в стандарте PCI DSS 3.2, которые главным образом посвящены использованию многофакторной аутентификации (multi-factor authentication, MFA), и которые делают обязательным применение многофакторной аутентификации для пользователей, осуществляющих доступ к среде данных о держателях карт (cardholder data environment, CDE) из офиса.
Цель этого дополнительного руководства заключается в создании стандартов передовой практики для тех компаний, перед которыми стоит задача расширить область применения многофакторной аутентификации, а также для тех, кто задумывается, как наилучшим образом обеспечить соблюдение требований к аутентификации, предъявляемых в стандарте PCI DSS.
В руководстве PCI упоминаются некоторые ключевые принципы многофакторной аутентификации.
Для организаций, еще не внедривших средства многофакторной аутентификации:
Наш совет организациям, еще не установившим решения для многофакторной аутентификации, заключается в следующем: необходимо выбрать такое решение для многофакторной аутентификации, которое бы учитывало все сценарии использования, предусмотренные стандартом PCI. Кроме того, важно убедиться в том, что рассматриваемое MFA решение поддерживает самые различные приложения. Это позволит ИТ-подразделению внедрить единый инструмент, который будет удовлетворять всем требованиям стандарта PCI в отношении всех пользователей, обеспечивая защиту необходимых приложений.
Для организаций, которым необходимо расширить сферу применения средств многофакторной аутентификации и использовать их в новых сценариях:
Для организаций, уже внедривших решения для многофакторной аутентификации, но которым необходимо расширить сферу их применения в том числе для управления сетевым доступом, подобный проект позволяет консолидировать инструментов аутентификации в единую платформу, которая будет удовлетворять требованиям стандарта PCI и другим постоянно меняющимся регуляторным требованиям. Среди возможных решений можно рассмотреть использование смарт-карт PKI, позволяющих использовать многофакторную аутентификацию для сетевого доступа, привилегированного доступа, удаленного доступа и логического доступа с помощью единого решения, что позволяет свести к минимуму административную нагрузку на ИТ и обеспечивает чрезвычайно удобный пользовательский опыт.
Для тех, кто хотел бы лучше разобраться в соблюдении требований стандарта PCI DSS (Payment Card Industry Data Security Standard) – наш документ Complying with the Payment Card Industry Data Security Standard — White Paper (англ.).
Мы уже обсуждали новейшие изменения в стандарте PCI DSS 3.2, которые главным образом посвящены использованию многофакторной аутентификации (multi-factor authentication, MFA), и которые делают обязательным применение многофакторной аутентификации для пользователей, осуществляющих доступ к среде данных о держателях карт (cardholder data environment, CDE) из офиса.
Цель этого дополнительного руководства заключается в создании стандартов передовой практики для тех компаний, перед которыми стоит задача расширить область применения многофакторной аутентификации, а также для тех, кто задумывается, как наилучшим образом обеспечить соблюдение требований к аутентификации, предъявляемых в стандарте PCI DSS.
В руководстве PCI упоминаются некоторые ключевые принципы многофакторной аутентификации.
- Механизмы многофакторной аутентификации должны работать независимо друг от друга и не должны компрометировать друг друга, то есть при аутентификации доступа факторы аутентификации не должны зависеть друг от друга.
- Используемые пароли должны быть защищены и должны быть трудноугадываемыми. Аппаратное обеспечение и биометрические данные должны храниться в надежном и безопасном месте, не допускающем создания неавторизованной копии.
- Необходимо принимать во внимание особенности местного законодательства и нормативных актов, поскольку не исключено наличие дополнительных локальных требований.
Примеры передовых практик
Для организаций, еще не внедривших средства многофакторной аутентификации:
Наш совет организациям, еще не установившим решения для многофакторной аутентификации, заключается в следующем: необходимо выбрать такое решение для многофакторной аутентификации, которое бы учитывало все сценарии использования, предусмотренные стандартом PCI. Кроме того, важно убедиться в том, что рассматриваемое MFA решение поддерживает самые различные приложения. Это позволит ИТ-подразделению внедрить единый инструмент, который будет удовлетворять всем требованиям стандарта PCI в отношении всех пользователей, обеспечивая защиту необходимых приложений.
Для организаций, которым необходимо расширить сферу применения средств многофакторной аутентификации и использовать их в новых сценариях:
Для организаций, уже внедривших решения для многофакторной аутентификации, но которым необходимо расширить сферу их применения в том числе для управления сетевым доступом, подобный проект позволяет консолидировать инструментов аутентификации в единую платформу, которая будет удовлетворять требованиям стандарта PCI и другим постоянно меняющимся регуляторным требованиям. Среди возможных решений можно рассмотреть использование смарт-карт PKI, позволяющих использовать многофакторную аутентификацию для сетевого доступа, привилегированного доступа, удаленного доступа и логического доступа с помощью единого решения, что позволяет свести к минимуму административную нагрузку на ИТ и обеспечивает чрезвычайно удобный пользовательский опыт.
Для тех, кто хотел бы лучше разобраться в соблюдении требований стандарта PCI DSS (Payment Card Industry Data Security Standard) – наш документ Complying with the Payment Card Industry Data Security Standard — White Paper (англ.).
