{"id":1589,"date":"2017-03-26T21:33:37","date_gmt":"2017-03-27T02:33:37","guid":{"rendered":"http:\/\/www.iqcol.com\/?p=1589"},"modified":"2017-03-26T21:33:37","modified_gmt":"2017-03-27T02:33:37","slug":"pci-dss-ver-3-2-requerimiento-autenticacion-multifactor","status":"publish","type":"post","link":"https:\/\/iqcol.com\/en\/pci-dss-ver-3-2-requerimiento-autenticacion-multifactor\/","title":{"rendered":"PCI DSS ver 3.2 Requerimiento de autenticaci\u00f3n multifactor"},"content":{"rendered":"<p><span style=\"font-weight: 400;\">Luego del <\/span><span style=\"font-weight: 400;\">North America Community Meeting en septiembre, en el cual el PCI SSC es miembro activo, y el anuncio de una nueva revisi\u00f3n de la NIST SP 800-63, la cual puede indicar el fin del uso de SMS como un factor de autenticaci\u00f3n. <\/span><br \/>\n<span style=\"font-weight: 400;\">La autenticaci\u00f3n multi factor, como bien sabemos, requiere de al menos 2 factores independientes para realizar la autenticaci\u00f3n sin indicar la valides de los factores hasta que todos han sido presentados, es decir en el caso m\u00e1s com\u00fan que vemos, cuando vamos a ingresar a un sistema ingresando usuario y contrase\u00f1a, y luego de autenticado solicita la validaci\u00f3n del segundo factor, estar\u00edamos realizando una autenticaci\u00f3n de dos pasos en lugar de 2 factores.<\/span><br \/>\n<span style=\"font-weight: 400;\">El error que tenemos est\u00e1 en la retroalimentaci\u00f3n de validez de los factores, pues antes de solicitar el segundo factor, nos indica si el primer factor es v\u00e1lido o no.<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">Los factores que podemos utilizar son:<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">Algo que sabe: usuario y contrase\u00f1a.<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">Algo que tiene: token, tarjeta inteligente.<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">Algo que es: biom\u00e9trico.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Tambi\u00e9n es necesario garantizar la independencia de los factores, es decir, un factor no provea acceso a otro. Por ejemplo si utilizo un dispositivo (Smartphone) como algo que poseo, y en ese mismo dispositivo estoy almacenando la contrase\u00f1a, o donde se env\u00eda el link de recuperaci\u00f3n de contrase\u00f1a; aquella persona que tenga acceso al dispositivo podr\u00eda tener acceso a los dos factores necesarios para la autenticaci\u00f3n.<\/span><br \/>\n<span style=\"font-weight: 400;\">Otros escenarios pueden generar la perdida de independencia cuando un factor da acceso a alguno de los dem\u00e1s factores.<\/span><br \/>\n<span style=\"font-weight: 400;\">Esta aclaraci\u00f3n ser\u00e1 tenida en cuenta, en las entidades que est\u00e1n actualmente en proceso de evaluaci\u00f3n PCI-DSS, para el acceso remoto al CDE; y a partir de febrero de 2018 para la autenticaci\u00f3n Multifactor de cuentas administrador. <\/span><br \/>\n<span style=\"font-weight: 400;\">Informaci\u00f3n adicional puede ser encontrada en:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">PCI MULTI-FACTOR AUTENTICATION GUIDANCE V1 (Gu\u00eda oficial liberada por el PCI SSC)<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">DRAFT NIST Special Publication 800-63-3 Digital Authentication Guideline<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">DRAFT NIST Special Publication 800-63B Digital Authentication Guideline: Authentication and Lifecycle Management<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">DRAFT NIST Special Publication 800-63C Digital Authentication Guideline: Federation and Assertions<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">ISO 19092:2008 &#8211; Financial services &#8212; Biometrics &#8212; Security framework<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">ISO\/IEC 27040:2015 Information technology \u2014 Security techniques \u2014 Storage security<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Luego del North America Community Meeting en septiembre, en el cual el PCI SSC es miembro activo, y el anuncio de una nueva revisi\u00f3n de la NIST SP 800-63, la cual puede indicar el fin del uso de SMS como un factor de autenticaci\u00f3n. La autenticaci\u00f3n multi factor, como bien sabemos, requiere de al menos [&hellip;]<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-1589","post","type-post","status-publish","format-standard","hentry","category-noticias"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/1589","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/comments?post=1589"}],"version-history":[{"count":0,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/1589\/revisions"}],"wp:attachment":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media?parent=1589"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/categories?post=1589"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/tags?post=1589"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}