Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 8.3.3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.3.3
8.3.3
Определенные Требования к Подходу:
Идентификация пользователя проверяется перед изменением любого фактора аутентификации.
Цель Индивидуального подхода:
Неавторизованные лица не могут получить доступ к системе, выдавая себя за авторизованного пользователя
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Идентификация пользователя проверяется перед изменением любого фактора аутентификации.
Цель Индивидуального подхода:
Неавторизованные лица не могут получить доступ к системе, выдавая себя за авторизованного пользователя
Определенные Процедуры Тестирования Подхода:
- 8.3.3 Изучите процедуры изменения факторов аутентификации и понаблюдайте за сотрудниками службы безопасности, чтобы убедиться, что, когда пользователь запрашивает изменение фактора аутентификации, личность пользователя проверяется до изменения фактора аутентификации.
Цель:
Злоумышленники используют методы ”социальной инженерии", чтобы выдать себя за пользователя системы — например, позвонив в службу поддержки и действуя как законный пользователь, — чтобы изменить фактор аутентификации, чтобы они могли использовать действительный идентификатор пользователя.
Требование положительной идентификации пользователя снижает вероятность успеха такого типа атаки.
Надлежащая практика:
Изменения в факторах аутентификации, для которых должна быть проверена идентификация пользователя, включают, но не ограничиваются этим, выполнение сброса пароля, предоставление новых аппаратных или программных токенов и генерацию новых ключей.
Примеры:
Методы проверки личности пользователя включают секретный вопрос/ответ, информацию, основанную на знаниях, и перезвон пользователя по известному и ранее установленному номеру телефона.
Злоумышленники используют методы ”социальной инженерии", чтобы выдать себя за пользователя системы — например, позвонив в службу поддержки и действуя как законный пользователь, — чтобы изменить фактор аутентификации, чтобы они могли использовать действительный идентификатор пользователя.
Требование положительной идентификации пользователя снижает вероятность успеха такого типа атаки.
Надлежащая практика:
Изменения в факторах аутентификации, для которых должна быть проверена идентификация пользователя, включают, но не ограничиваются этим, выполнение сброса пароля, предоставление новых аппаратных или программных токенов и генерацию новых ключей.
Примеры:
Методы проверки личности пользователя включают секретный вопрос/ответ, информацию, основанную на знаниях, и перезвон пользователя по известному и ранее установленному номеру телефона.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.