X Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy
Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie. Accetto

NEWS ALIAS

01 Gennaio 2018
Bookmark and Share

VASCO: Multi-factor authentication per la PCI DSS 3.2

Il 1° Febbraio 2018 entra in vigore ufficialmente la versione 3.2 dello standard di sicurezza per i pagamenti con carte di credito (PCI DSS 3.2).

Tra i requisiti, vi è quello di implementare i servizi di multi-factor authentication (MFA) per l'accesso in remoto agli ambienti dati dei proprietari di carta di credito (CDE) e ai sistemi di trattamento dati delle carte di credito, per i quali il Consiglio degli Standard di Sicurezza PCI (PCI SSC) ha dato delle linee guida agli inizi di quest'anno.

PCI DSS 3.2
La PCI DSS 3.2 è applicata a tutte le entità coinvolte nel processamento pagamenti con carta di credito, inclusi venditori, entità processanti, acquirenti e fornitori del servizio. Si applica inoltre a tutte le entità che salvano, processano o trasmettono informazioni di possessori di carta di credito o informazioni sensibili di autenticazione.

REQUISITO 8.3 e MULTI-FACTOR AUTHENTICATION
Il Requisito 8.3 si divide in:
- 8.3.1: multi-factor authentication per tutto il personale con accesso non fisico diretto (non-console) con permessi amministrativi al CDE, incluso l'accesso da rete interna, rete esterna e reti remote.
- 8.3.2: multi-factor authentication per l'accesso remoto al CDE, applicato a tutto il personale, inclusi gli utenti generici, amministratori e vendors (per supporto e manutenzione)

GUIDA ALLA MULTI-FACTOR AUTHENTICATION
Il PCI SSC ha pubblicato un documento (reperibile qui) per aiutare l'implementazione della MFA in PCI DSS.

FATTORI DI AUTENTICAZIONE
La MFA prevede l'utilizzo di almeno due fattori di autenticazione tra :
- qualcosa che conosci (password, PIN, risposta a domande segrete);
- qualcosa che hai (OTP Token, smartcard);
- qualcosa che sei (biometrica).

INDIPENDENZA DEI FATTORI
I fattori di autenticazione devono essere indipendenti fra di loro, per evitare che l'accesso a uno dei fattori garantisca l'accesso ad altri fattori, e la compromissione di un fattore non comprometta integrità e confidenzialità degli altri fattori.

PROTEZIONE DEI FATTORI
I fattori devono essere protetti dall'accesso non autorizzato. Dove i fattori vengono recapitati su dispositivi multi-funzione ( tablet, smartphone, etc.) devono essere implementati dei controlli per evitare la compromissione del dispositivo cliente.

MULTI-STEP vs MULTI-FACTOR
I fattori devono essere verificati insieme in un unica fase, altrimenti diventa una single-factor multi-step authentication (non compliant).

CONCLUSIONE
Date un'occhiata al documento guida per avere un punto di partenza alla formazione per revisionare, implementare o migliorare le vostre soluzioni di MFA.


-> leggi l'articolo originale qui (lingua inglese) 

Bookmark and Share
© Alias S.r.l. 2018. Tutti i diritti riservati. Sede Legale: Via San Francesco, 2 - 33100 Udine
Capitale sociale Euro 62.400,00 i.v., C.F. / P.IVA 01837180304, Iscrizione C.C.I.A.A. Registro Imprese di UDINE n. 01837180304

© project Web Industry