Выполнение требований стандарта PCI DSS 3.2 в части аутентификации пользователей

В апреле 2016 года была принята новая версия PCI DSS 3.2. Часть нововведений этой версии вступает в силу 1 февраля 2018 года. К таким нововведениям относятся изменения в части аутентификации сотрудников при доступе к информационным системам банка. Так, с 01.02.2018 г. становится обязательным применение многофакторной аутентификации в ряде сценариев доступа.

Стандарт PCI DSS определяет следующие факторы или методы аутентификации пользователей:

• то, что вы знаете;

Приведем несколько примеров для указанных факторов, наиболее часто встречающихся при практическом решении задач мультифакторной аутентификации.

То, что вы знаете

• PIN код смарт-карты или USB-ключа. PIN хранится только в памяти устройства и используется для доступа к защищенной области данных на смарт-карте или USB-ключа для выполнения различных криптографических операций, в т.ч. в целях аутентификации.
• Ответы на контрольные вопросы. Как правило, такой метод используется как резервный при восстановлении доступа. В целях безопасности, рекомендуется требовать правильные ответы на несколько вопросов.
• Классический пароль условно постоянного действия.

То, что у вас есть

• Смарт-карт или USB-ключ. На таких устройствах хранится закрытый ключ для операций асимметричной криптографии и другая ключевая информация.
• OTP-брелок — генератор одноразовых паролей. Аппаратное устройство генерации OTP. Наиболее распространенным стандартом генерации одноразовых  паролей являются алгоритмы OATH TOTP и HOTP. Также встречаются проприетарные алгоритмы генерации ОТР (например, RSA).
• Смартфон пользователя. Смартфон может использоваться в различных вариантах: (а) мобильное приложение для генерации ОТР; (б) одноразовые пароли, высылаемые по SMS; (в) мобильное приложение для out of band аутентификации с использованием push-уведомлений.
• Бесконтактная карта (RFID). Такие карты удобны тем, что могут одновременно использоваться как для логического доступа в информационные системы, так и для физического доступа в помещения организации.

То, чем вы обладаете (то, чем вы являетесь)

• В данную категорию попадают все технологии, основанные на биометрических данных человека.
• Наиболее распространенным на данный момент вариантом биометрической аутентификации является отпечаток пальца. На сегодняшний день данная технология обладает одним из лучших соотношений цена-качество среди биометрических технологий.
• Рисунок вен. Данная технология для построения биометрического шаблона использует рисунок вен ладони или пальца. Преимуществом технологии является высокая точность распознавания и гигиеничность — считывание вен происходит на расстоянии без непосредственного контакта сканера с ладонью или пальцем.
• Фотография (2D изображение лица). Данная технология является одним из наиболее дешевых вариантов биометрической аутентификации, т.к. не требует применения специализированного устройства. К недостаткам технологии можно отнести зависимость точности распознавания от освещенности помещения.
• 3D изображения лица. Для аутентификации по 3D изображению лица применяется технология Intel RealSense™, позволяющая с высокой точностью получить изображение лица, в том числе в инфракрасном диапазоне, что обеспечивает высокую точность аутентификации.
• Голосовая биометрия. Аналогично фотоизображению лица, голосовая биометрия является одним из самых недорогих вариантов. Преимуществами технологии является возможность работы в телефонном звонке. К недостаткам технологии можно отнести относительно невысокую точность и ограниченные набор сценариев применения.

Следует отметить, что согласно стандарту, мультифакторная аутентификация требует сочетать минимум два различных фактора. Т.е. применение двух паролей или двух отпечатков пальцев не будет являться мультифакторной аутентификацией. Приведем наиболее распространенные на практике сочетания различных факторов:

• Смарт-карта (с закрытым ключом и сертификатом) + PIN код.

• Постоянный пароль + одноразовый пароль

• Бесконтактная карта + постоянный пароль

• Бесконтактная карта + отпечаток пальца

• Отпечаток пальца + постоянный пароль

Продукты Indeed Identity позволяют реализовать все приведенные сочетания факторов аутентификации, а также поддерживают возможность расширения перечня сценариев аутентификации по запросу. Ниже приведен перечень программного обеспечения под брендом Indeed, которое может быть использовано для построения системы мультифакторной аутентификации для выполнения требований PCI DSS.

Indeed Card Management

Централизованная система управления жизненным циклом ключевых носителей (смарт-карт и USB-ключей) и цифровых сертификатов. Indeed Card Management (Indeed CM) позволяет снизить расходы на использование PKI-инфраструктуры и повысить эффективность ее использования за счет применения централизованных политики использования смарт-карт и сертификатов, автоматизации рутинных операций и предоставления пользователям сервиса самообслуживания.

Indeed AirKey Enterprise

Виртуальная смарт-карта представляет собой программную реализацию классической смарт-карты, что позволяет использовать Indeed AirKey Enterprise (Indeed AKE) в любых сценариях, доступных классическим картам. При этом организация не несет дополнительных затрат на аппаратные носители. Инфраструктура виртуальных смарт-карт управляется централизованно администратором системы, включая удаленную доставку карты на ПК пользователя и уничтожение карты.

Indeed Enterprise Authentication

Indeed Enterprise Authentication (Indeed EA) является универсальной системой аутентификации, предназначенной для организации строгой и мультифакторной аутентификации в любых системах, используемых на предприятиях: ОС, web- и мобильные приложения, VPN, VDI, SAML-совместимые приложения и др. Поддерживается также технология Enterprise Single Sign-On.

Ниже приведены комментарии по реализации конкретных требований стандарта PCI DSS 3.2 в части аутентификации с использованием программного обеспечения Indeed Identity.