КиберОценка

8.4: Многофакторная аутентификация

MFA реализована для защиты доступа к CDE

Подробное описание

Требование 8.4 PCI DSS 4.0 обязывает организации внедрить многофакторную аутентификацию (MFA) для всех точек доступа к среде данных держателей карт (CDE). MFA требует использования как минимум двух независимых факторов аутентификации из разных категорий: что-то, что пользователь знает (пароль), что-то, чем владеет (токен, смартфон), или что-то, чем является (биометрия). Начиная с PCI DSS 4.0, MFA обязательна не только для удалённого доступа, но и для всех административных консолей и доступа к CDE изнутри корпоративной сети. Это требование критически важно для защиты от компрометации учётных данных, фишинга и несанкционированного доступа к платёжным данным.

Практические шаги внедрения

  1. 1

    Провести инвентаризацию всех точек доступа к CDE: VPN, SSH, административные консоли, веб-приложения, базы данных

  2. 2

    Выбрать и развернуть MFA-решение: аппаратные токены, мобильные приложения (Google Authenticator, Microsoft Authenticator), биометрия

  3. 3

    Настроить интеграцию MFA со всеми системами доступа к CDE через RADIUS, SAML, OAuth 2.0 или нативные механизмы

  4. 4

    Внедрить политику обязательного использования MFA для всех привилегированных учётных записей и администраторов

  5. 5

    Обеспечить резервные методы аутентификации на случай потери основного фактора (backup-коды, альтернативные устройства)

  6. 6

    Обучить сотрудников правилам использования MFA и процедурам восстановления доступа при утере второго фактора

  7. 7

    Настроить мониторинг и алертинг на события: множественные неудачные попытки MFA, обход MFA, использование резервных кодов

Типичные нарушения

  • MFA настроена только для VPN, но отсутствует для прямого доступа к серверам CDE или административным панелям изнутри сети

  • Используются слабые методы второго фактора: SMS-коды (уязвимы к SIM-swap атакам) вместо TOTP или FIDO2-ключей

  • Отсутствуют процедуры восстановления доступа при потере второго фактора, что создаёт операционные риски

  • MFA не применяется к сервисным учётным записям и API-ключам, используемым для автоматизированного доступа к CDE

  • Не ведётся аудит событий MFA: попытки обхода, частые сбросы второго фактора, использование одного токена несколькими пользователями

Почему это важно

Многофакторная аутентификация — последний рубеж защиты от несанкционированного доступа к платёжным данным даже при компрометации паролей. Согласно исследованиям, 99.9% автоматизированных атак на учётные записи блокируются при включении MFA, что делает это требование одним из самых эффективных контролей PCI DSS. Невыполнение требования 8.4 критически увеличивает риск утечки данных держателей карт и может привести к отзыву сертификации PCI DSS.

Проверяемые категории

Authentication

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности