Требование 8: Идентификация пользователей и проверка подлинности доступа к компонентам системы
Обзор:
Два фундаментальных принципа идентификации и аутентификации пользователей заключаются в том, чтобы 1) установить личность физического лица или процесса в компьютерной системе и 2) доказать или подтвердить, что пользователь, связанный с идентификацией, является тем, за кого себя выдает.
Идентификация человека или процесса в компьютерной системе осуществляется путем сопоставления идентификатора с человеком или процессом с помощью идентификатора, такого как идентификатор пользователя, системы или приложения. Эти идентификаторы (также называемые “учетными записями”) в основном устанавливают личность человека или процесса, присваивая каждому человеку или процессу уникальную идентификацию, чтобы отличать одного пользователя или процесс от другого. Когда каждый пользователь или процесс может быть однозначно идентифицирован, это гарантирует подотчетность за действия, выполняемые этим идентификатором. Когда такая подотчетность существует, предпринятые действия могут быть прослежены до известных и авторизованных пользователей и процессов.
Элемент, используемый для подтверждения или проверки подлинности, известен как фактор аутентификации. Факторы аутентификации - это 1) что-то, что вы знаете, например, пароль или кодовая фраза, 2) что-то, что у вас есть, например, токен-устройство или смарт-карта, или 3) что-то, чем вы являетесь, например, биометрический элемент.
Идентификатор и фактор аутентификации вместе считаются учетными данными для аутентификации и используются для получения доступа к правам и привилегиям, связанным с учетными записями пользователя, приложения, системы или службы.
Эти требования к идентификации и аутентификации основаны на общепринятых в отрасли принципах безопасности и передовых методах поддержки платежной экосистемы. Специальная публикация NIST 800-63 "Руководство по цифровой идентификации" содержит дополнительную информацию о приемлемых рамках для цифровой идентификации и факторах аутентификации. Важно отметить, что Руководство NIST по цифровой идентификации предназначено для федеральных агентств США и должно рассматриваться полностью. Ожидается, что многие концепции и подходы, определенные в настоящих руководящих принципах, будут работать друг с другом, а не как отдельные параметры.
Примечание: Если в требовании не указано иное, эти требования применяются ко всем учетным записям во всех компонентах системы, если это специально не указано в отдельном требовании, включая, но не ограничиваясь:
- Счета в торговых точках
- Учетные записи с административными возможностями
- Учетные записи системы и приложений
- Все учетные записи, используемые для просмотра или доступа к данным о держателях карт или для доступа к системам с данными о держателях карт.
Сюда входят учетные записи, используемые сотрудниками, подрядчиками, консультантами, внутренними и внешними поставщиками и другими третьими сторонами (например, для предоставления услуг поддержки или технического обслуживания). Определенные требования не предназначены для применения к учетным записям пользователей, которые имеют доступ только к одному номеру карты одновременно для облегчения одной транзакции (например, идентификаторы, используемые кассирами в терминалах торговых точек). Когда элементы не применяются, они отмечаются непосредственно в конкретном требовании.
