Conformité aux exigences de la norme PCI DSS
concernant l'authentification des utilisateurs

Résoudre les problèmes d'authentification multifactorielle dans les systèmes d'information d'organisations financières dans le contexte des exigences de la norme PCI DSS

access manager

Une nouvelle version de PCI DSS 3.2 a été adoptée en avril 2016. Certaines des innovations de cette version entrent en vigueur le 1er février 2018. Ces innovations incluent des modifications de l'authentification des employés lors de l'accès aux systèmes d'information de la banque. L'utilisation de l'authentification multifactorielle dans un certaines de scénarios d'accès devient obligatoire à partir du 01.02.2018.

La norme PCI DSS définit les facteurs ou méthodes d’authentification des utilisateurs suivants:

  • Ce que vous savez;
  • Ce que vous avez;
  • Ce que vous possédez.

Donnons quelques exemples des facteurs indiqués les plus fréquentes dans la solution pratique des problèmes d’authentification multifactorielle.

Ce que vous savez

  • Code PIN de carte à puce ou de clé USB. Le code PIN n'est stocké que dans la mémoire du dispositif et est utilisé pour accéder à la zone de données protégée sur la carte à puce ou la clé USB afin d'effectuer diverses opérations cryptographiques, notamment à des fins d'authentification.
  • Réponses aux questions de sécurité. Généralement,cette méthode est utilisée comme sauvegarde lors de la restauration de l'accès. Pour des raisons de sécurité, il est recommandé de demander les réponses correctes à plusieurs questions.
  • Mot de passe classique conditionnellement permanent.

Ce que vous avez

  • Carte à puce ou clé USB. La clé privée pour les opérations de cryptographie asymétrique et d'autres informations essentielles est stockée sur de tels dispositifs
  • Le porte-clé OTP est un générateur de mot de passe à usage unique. Périphérique matériel de génération de OTP. Les algorithmes OATH TOTP et HOTP sont la norme la plus courante pour générer les mots de passe à usage unique. Il existe aussi les algorithmes de génération OTP propriétaires (comme par exemple, RSA).
  • Smartphone de l'utilisateur. Le smartphone peut être utilisé de différentes manières: (a) une application mobile pour générer ОТР ; (b) mots de passe à usage unique envoyés par SMS ; (c) application mobile pour l'authentification hors bande (out-of-band) à l'aide de notifications push.
  • ⦁ Carte sans contact (RFID). Ces cartes sont pratiques car elles peuvent être utilisées pour l'accès logique aux systèmes d'information et pour l'accès physique aux locaux de l'organisation

Ce que vous possédez (ce que vous êtes)

Toutes les technologies basées sur des données biométriques humaines entrent dans cette catégorie.

  • Actuellement, l’empreinte digitale est la technologie d’authentification biométrique la plus répandue. Aujourd'hui, cette technologie présente l'un des meilleurs rapports qualité/prix parmi les technologies biométriques.
  • Imagerie veineuse. Cette technologie de construction d'un modèle biométrique utilise l'imagerie veineuse de la paume ou du doigt. L'avantage de cette technologie est la grande précision de la reconnaissance et l'hygiène - la numérisation des veines s'effectue à distance, sans contact direct du scanner avec la paume ou le doigt.
  • Photo (Image 2D du visage). Cette technologie est l’une des moins chères parmi les technologies de l’authentification biométrique, parce qu'elle ne nécessite pas l'utilisation de l'appareil spécialisé. Les inconvénients de cette technologie incluent la dépendance de la précision de la reconnaissance sur l’éclairage de la pièce.
  • Images 3D du visage. Pour l'authentification par l'images 3D du visage, la technologie IntelRealSense™ est utilisée. Cette technologie permet d'obtenir une image très précise du visage, y compris dans le plage infrarouge garantissant une grande précision de l'authentification.
  • Biométrie vocale. Semblable à l'image du visage, la biométrie vocale est l'une des technologies les moins coûteuses. Les avantages de cette technologie incluent la possibilité de travailler par téléphone. Les inconvénients de cette technologie incluent la précision relativement faible et l'ensemble limité de scénarios d'application.

Il convient de noter que, conformément à la norme, l’authentification multifactorielle requiert la combinaison d’au moins deux facteurs différents. C'est à dire que l'utilisation de deux mots de passe ou de deux empreintes digitales n'est pas l'authentification multifactorielle. Nous vous présentons les combinaisons les plus courantes dans la pratique de divers facteurs:

  • Carte à puce (avec clé privée et certificat) + code PIN.
  • Mot de passe permanent + mot de passe à usage unique
  • Carte sans contact + mot de passe permanent
  • Carte sans contact + empreinte digitale
  • Empreinte digitale + mot de passe permanent
  • Application sur smartphone (notification push) + mot de passe permanent
  • Application sur smartphone (notification push) + empreinte digitale

Les produits Indeed Identity vous permettent de mettre en oeuvre toutes les combinaisons de facteurs d’authentification décrites ci-dessus, et prennent également en charge la possibilité d’élargir la liste des scénarios d’authentification à la demande. Pour construire un système d’authentification multifactorielle, les produits suivants sont utilisés:

Indeed Certificate Manager

Système centralisé de gestion du cycle de vie des opérateurs clés (cartes à puce et clés USB) et des certificats numériques. Indeed Certificate Manager (Indeed CM) permettre de réduire les coûts d'utilisation de l'infrastructure et augmenter l'efficacité de son utilisation en appliquant les stratégies centralisées d'utilisation de cartes à puce et de certificats, en automatisant les opérations de routine et en offrant des possibilités de self-service aux utilisateurs.

Indeed Access Manager

Indeed Access Manager (Indeed AM) est un système d’authentification universel conçu pour organiser l'authentification forte et multifactorielle dans tous les systèmes utilisés dans les entreprises: système d'exploitation, applications Web et mobiles, VPN, VDI, applications qui sont compatibles avec SAML, etc. La technologie Enterprise Single Sign-On est également prise en charge.

Les commentaires sur la mise en œuvre d'exigences spécifiques de la norme PCI DSS 3.2 en termes d'authentification à l'aide du logiciel Indeed Identity sont présentés ci-dessous.

Exigence PCI DSS 3.2 Commentaire

8.1.3 Révoquez immédiatement l'accès pour tous les utilisateurs ayant quitté leur emploi.

8.1.3.b Vérifiez que toutes les méthodes d'authentification physique - telles que les cartes à puce, les jetons, etc. - ont été renvoyées ou désactivées.

Indeed Certificate Manager inclut le service de surveillance de l’état des comptes des utilisateurs des cartes à puce et des certificats. Lorsque un compte est bloqué, le service révoque automatiquement les certificats numériques émis à l'utilisateur, en permettant d'empêcher rapidement l'utilisation de certificats et de cartes à puce des employés licenciés. Indeed CM stocke également des informations sur les cartes à puce et les clés USB attribuées à un employé pour contrôler l’utilisation des appareils.

8.1.6 Limitez les tentatives d'accès répétées en verrouillant l'identifiant d'utilisateur après six tentatives maximum.

8.1.6.a. Pour une sélection des composants système, vérifiez les paramètres de configuration du système pour vous assurer que les paramètres d'authentification sont définis pour exiger que les comptes des utilisateurs soient bloqués après au plus six tentatives d'accès non valides

Indeed CM utilise une gestion centralisée des stratégies des codes PIN en permettant de distribuer des paramètres uniformes à toutes les cartes à puce, notamment - nombre de tentatives d'accès avant de bloquer la carte à puce.

Indeed Access Manager permet également de définir de manière centralisée une stratégie du blocage des tentatives d'accès lorsqu'un nombre spécifié de tentatives d'authentification est dépassé

8.2 Outre l'attribution d'un identificateur unique, au moins une des méthodes suivantes d'authentification de tous les utilisateurs doit être utilisée pour garantir la bonne gestion de l'authentification des employés (qui ne sont pas les utilisateurs) et les administrateurs au niveau de tous les composants du système:

  • Quelque chose que vous savez, comme un mot de passe ou une phrase secrète
  • Quelque chose que vous avez, comme un périphérique à jeton ou une carte à puce
  • Quelque chose que vous êtes, comme les paramètres biométriques.

L'application des produits Indeed Certificate Manager et Indeed Access Manager permet d'utiliser toutes les méthodes d'authentification spécifiées. Selon l’environnement, les différentes options d'authentification peuvent être disponibles pour l'employé (par exemple, une carte à puce + un code PIN pour accéder au système d’exploitation et un mot de passe + OTP pour laccéder au VPN)

8.2.2 Vérifiez l'identité de l'utilisateur avant de modifier les coordonnées d'accès (par exemple, réinitialisation du mot de passe, fourniture de nouveaux jetons ou génération de nouvelles clés).

Pour les opérations de déverrouillage de cartes à puce, Indeed СМ prend en charge la technologie d'authentification par les questions de sécurité. Cela permet de satisfaire à cette exigence dans les opérations avec le code PIN de la carte à puce.

8.2.3 Les mots de passe/phrases secrètes doivent respecter les critères suivants:

  • Exiger une longueur minimale de sept caractères.
  • Contenir les caractères numériques et alphabétiques.

Alternativement, les mots de passe/phrases de passe doivent être complexes et avoire une résistance au moins équivalentes aux paramètres spécifiés ci-dessus.

Indeed CM utilise une gestion centralisée des stratégies des codes PIN en permettant de distribuer des paramètres uniformes à toutes les cartes à puce, y compris des exigences relatives à la complexité des codes PIN.

8.2.4 Changez les mots de passe/phrases secrètes des utilisateurs au moins une fois tous les 90 jours.

Indeed CM utilise une gestion centralisée des stratégies des codes PIN en permettant de distribuer des paramètres uniformes à toutes les cartes à puce, y compris des exigences relatives à la durée de vie des codes PIN

8.2.5 Ne permettez pas à une personne de soumettre un nouveau mot de passe/phrase secrète identique à l'un des quatre derniers mots de passe/phrases secrètes qu'il a déjà utilisé.

Indeed CM utilise une gestion centralisée des stratégies des codes PIN en permettant de distribuer des paramètres uniformes à toutes les cartes à puce, y compris des exigences relatives à l'histoire des codes PIN.

8.2.6 Définissez le mot de passe/phrase secrètes lors de la première utilisation et lors de la réinitialisation à une valeur unique pour chaque utilisateur, puis modifiez immédiatement le mot de passe/phrase secrètes après la première utilisation

Indeed CM utilise une gestion centralisée des stratégies des codes PIN en permettant de distribuer des paramètres uniformes à toutes les cartes à puce, y compris génération de codes PIN aléatoires et l'obligation de changer le code PIN lors de la première connexion.

8.3 Sécurisez tous les accès administratifs individuels sans console et tous les accès à distance à l'environnement informationnel des titulaires de cartes utilisant l’authentification multifactorielle.

L'exigence peut être remplie avec ou sans l'aide de l'infrastructure à clé publique (PKI). Il est également possible de combiner des technologies, par exemple, de la manière suivante:
- L'utilisation de cartes à puce et de certificats numériques pour l'authentification en mode de fonctionnement local (dans le système d'exploitation et les applications) ;
- L'utilisation de la technologie de mot de passe à usage unique pour l'accès à distance (par exemple, lors de l'authentification dans un réseau privé virtuel (VPN)).
Le choix de technologies spécifiques dépend du logiciel et du matériel utilisés. En outre, le choix de la technologie peut dépendre des pouvoirs et du rôle de l'utilisateur (par exemple, des certificats pour les employés et des SMS pour les tiers). Les logiciels Indeed CM et Indeed AM permettent de mettre en pratique n'importe quel scénario d'authentification, sans être lié à des technologies spécifiques

EN SAVOIR PLUS
POSEZ VOTRE QUESTION DANS UN CHAT EN DIRECT SUR NOTRE SITE WEB
  • sur les projets mis en œuvre
  • sur la comparaison avec les concurrents
  • sur les prix et les licences
  • sur le matériel nécessaire
Indeed chat
INDUSTRIE AUTOUR DE NOUS
KuppingerCole Leadership
Dans le rapport du 21 mars 2016 de KuppingerCole, Indeed Identity a été mentionné en tant que « fournisseur spécialisé » du segment du marché de la gestion d’accès qui fournit les solutions d’authentification des utilisateurs, de cryptage des messages et de sécurisation des informations sur les téléphones mobiles.
KuppingerCole
le premier analyste européen sur les thèmes de la sécurité de l’information à l’ère de la transformation numérique
X Infotech
"Indeed Identity est un partenaire important de la Softline depuis très longtemps. Ensemble, nous avons réalisé plusieurs projets réussis dans de nombreux domaines économiques. Les entreprises internationales choisissent Indeed ID en raison de ses logiciels fiables, de ses prix compétitifs et de ses services remarquables."
Sergey Yeliseyev
Groupe Softline, responsable de la promotion régionale de la sécurité de l’information
Softline
Indeed Identity est la société de professionnels opérant dans le domaine de la sécurité de l’information. Ils fournissent des solutions haut de gamme pour la gestion de l’infrastructure à clé publique et le contrôle d’accès aux ressources de l’entreprise. Nous vous recommandons cette société en tant que partenaire fiable.
Michael Lisnevsky
Propriétaire de X-Infotech, directeur du développement, solutions d’administration pour la carte d’identité électronique