使用 ssh 密钥是否符合 PCI 标准？

Question

如果您的 ssh 服务对互联网开放，则需要双重身份验证 (8.3)。此要求适用于任何有权访问任何系统（其中存在持卡人数据）的帐户（仅处理交易且只能访问当时正在处理的数据的帐户除外）。您还应该在您的内部的网络（8.2）。

ssh 密钥仅算作一个因素（您知道的东西），即使它有自己的密码。

由于无法测试，外部扫描将忽略此要求。但现场访问的审计员应该会寻找它。

Answer 1

如果您的 ssh 服务对互联网开放，则需要双重身份验证 (8.3)。此要求适用于任何有权访问任何系统（其中存在持卡人数据）的帐户（仅处理交易且只能访问当时正在处理的数据的帐户除外）。您还应该在您的内部的网络（8.2）。

ssh 密钥仅算作一个因素（您知道的东西），即使它有自己的密码。

由于无法测试，外部扫描将忽略此要求。但现场访问的审计员应该会寻找它。

相关内容