主に多要素認証(MFA)の使用に専念し、カード会員データ環境にアクセスするユーザーに多要素認証の使用を義務付けるPCI DSS 3.2標準の最新の変更については既に説明しました。 CDE)オフィスから。
この補足ガイドの目的は、多要素認証の範囲を拡大することに挑戦している企業、およびPCI DSS規格の認証要件を満たす最善の方法を検討している企業のためのベストプラクティスの標準を作成することです。
PCIガイドは、多要素認証のいくつかの重要な原則に言及しています。
- 多要素認証メカニズムは相互に独立して機能する必要があり、相互に妥協しないようにする必要があります。つまり、アクセス認証では、認証要素は相互に依存するべきではありません。
- 使用するパスワードは安全で推測しにくいものでなければなりません。 ハードウェアおよび生体認証データは安全で安全な場所に保存し、不正コピーの作成を防止する必要があります。
- 追加の現地の要件が存在する可能性があるため、現地の法律や規制の特性を考慮する必要があります。
ベストプラクティス
多要素認証をまだ実装していない組織の場合:
多要素認証ソリューションをまだインストールしていない組織へのアドバイスは次のとおりです。PCI標準で提供されるすべてのユースケースを考慮した多要素認証ソリューションを選択する必要があります。 さらに、問題のMFAソリューションがさまざまなアプリケーションをサポートしていることを確認することが重要です。 これにより、IT部門は、必要なアプリケーションを保護しながら、すべてのユーザーのPCI標準のすべての要件を満たす単一のツールを実装できます。
多要素認証ツールの範囲を拡張し、新しいシナリオでそれらを使用する必要がある組織の場合:
多要素認証ソリューションを既に実装しているが、ネットワークアクセス制御を含むアプリケーションの範囲を拡張する必要がある組織の場合、同様のプロジェクトにより、認証ツールを単一のプラットフォームに統合し、PCI標準およびその他の絶えず変化する規制要件を満たすことができます。 可能なソリューションの中でも、PKIスマートカードの使用を検討してください。PKIスマートカードを使用すると、ネットワークアクセス、特権アクセス、リモートアクセス、論理アクセスに多要素認証を使用できます。
PCI DSS(ペイメントカード業界データセキュリティ標準)への準拠をよりよく理解したい場合は、 「ペイメントカード業界データセキュリティ標準への準拠-ホワイトペーパー」を参照してください 。