Требование 8: Идентификация пользователей и проверка подлинности доступа к компонентам системы
Обзор:
Два основных принципа идентификации и аутентификации пользователей: 1) установить личность человека или процесса в компьютерной системе, и 2) доказать или проверить, что пользователь, ассоциированный с этой личностью, является тем, кем он заявляет о себе.
Идентификация человека или процесса в компьютерной системе осуществляется путем ассоциации личности с человеком или процессом через идентификатор, такой как имя пользователя, системный или приложенческий идентификатор. Эти идентификаторы (также называемые "учетными записями") принципиально устанавливают личность человека или процесса, присваивая уникальную идентификацию каждому пользователю или процессу для различения одного пользователя или процесса от другого. Когда каждый пользователь или процесс может быть уникально идентифицирован, это гарантирует подотчетность за действия, выполняемые этим идентификатором. Когда такая подотчетность имеется, действия могут быть отслежены до известных и авторизованных пользователей и процессов.
Элемент, который используется для доказательства или проверки личности, называется фактором аутентификации. Факторы аутентификации включают: 1) то, что вы знаете, например, пароль или фразу-пароль; 2) то, что у вас есть, например, токен-устройство или смарт-карта; 3) то, что вы есть, например, биометрический элемент.
Идентификатор и фактор аутентификации вместе считаются учетными данными для аутентификации и используются для получения доступа к правам и привилегиям, связанным с учетными записями пользователей, приложений, систем или сервисов.
Эти требования для идентификации и аутентификации основаны на отраслевых стандартах безопасности и лучших практиках для поддержки платежной экосистемы. Дополнительную информацию о допустимых рамках для цифровой идентификации и факторов аутентификации можно найти в публикации NIST Special Publication 800-63, Digital Identity Guidelines. Важно отметить, что руководство NIST по цифровой идентификации предназначено для федеральных агентств США и должно рассматриваться в полном объеме. Многие концепции и подходы, определенные в этих руководствах, ожидается, будут работать вместе и не как отдельные параметры.
Примечание: Если в требовании не указано иное, эти требования применяются ко всем учетным записям на всех системных компонентах, если не указано прямо в индивидуальном требовании, включая, но не ограничиваясь:
- Учетными записями на терминалах точки продажи (POS)
- Учетными записями с административными возможностями
- Системными и прикладными учетными записями
- Все учетные записи, используемые для просмотра или доступа к данным держателей карт или для доступа к системам с данными держателей карт.
Это включает учетные записи, используемые сотрудниками, подрядчиками, консультантами, внутренними и внешними поставщиками, а также другими третьими сторонами (например, для предоставления услуг поддержки или обслуживания).
Некоторые требования не предназначены для применения к учетным записям пользователей на терминалах точки продажи, которые имеют доступ только к одному номеру карты за раз для выполнения одной транзакции. Когда элементы не применимы, это указано непосредственно в конкретном требовании.