PCI DSS 4.0 प्रमाणीकरण: Passkeys

डिजिटल दुनिया लगातार विकसित हो रही है, और इसके साथ ही साइबर खतरों की जटिलता और आवृत्ति भी बढ़ती जा रही है। पेमेंट कार्ड डेटा हमेशा से ही गलत इरादे वाले लोगों का मुख्य निशाना रहा है, इसलिए इसे संभालने वाले किसी भी संगठन के लिए मजबूत सुरक्षा मानक बहुत ज़रूरी हैं। पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड (PCI DSS) लंबे समय से कार्डधारक डेटा की सुरक्षा के लिए एक बेंचमार्क रहा है। इसका नवीनतम संस्करण, PCI DSS 4.0, एक महत्वपूर्ण कदम है, जो आधुनिक खतरों से सीधे तौर पर निपटता है, जिसमें अन्य सुधारों के साथ-साथ प्रमाणीकरण की आवश्यकताओं को काफी मजबूत किया गया है।

जैसे-जैसे संगठन इन नई मांगों को पूरा कर रहे हैं, उभरती हुई टेक्नोलॉजीज़ बेहतर समाधान पेश कर रही हैं। Passkeys, जो FIDO (Fast Identity Online) एलायंस मानकों और WebAuthn प्रोटोकॉल पर बने हैं, प्रमाणीकरण की इस नई लहर में सबसे आगे हैं। वे पासवर्ड रहित, फ़िशिंग-प्रतिरोधी तरीका प्रदान करते हैं और संवेदनशील डेटा तक पहुँच को सुरक्षित करने के तरीके में सुधार करते हैं। यह लेख PCI DSS 4.0 द्वारा लाए गए महत्वपूर्ण बदलावों का विश्लेषण करता है, विशेष रूप से सुरक्षित प्रमाणीकरण के संबंध में, पासकी प्रमाणीकरण की क्षमताओं का पता लगाता है, और अनुपालन प्राप्त करने और बनाए रखने के लिए इस तकनीक का लाभ उठाने के लिए एक रोडमैप प्रदान करता है।

यह खोज इस नए क्षेत्र में नेविगेट करने वाले संगठनों के लिए दो महत्वपूर्ण प्रश्न खड़े करती है:

1. प्रमाणीकरण: चूंकि PCI DSS 4.0 प्रमाणीकरण के लिए मानक बढ़ा रहा है, संगठन उपयोगकर्ताओं या सुरक्षा टीमों पर अतिरिक्त बोझ डाले बिना इन कड़ी नई आवश्यकताओं को प्रभावी ढंग से कैसे पूरा कर सकते हैं?
2. Passkeys और PCI-अनुपालन: क्या Passkeys जैसी उभरती हुई टेक्नोलॉजीज़ PCI DSS 4.0 के प्रमाणीकरण नियंत्रणों को पूरा कर सकती हैं, सुरक्षा बढ़ा सकती हैं और परिचालन दक्षता में सुधार कर सकती हैं?

इस लेख का उद्देश्य इन सवालों के जवाब देना है, जिससे तकनीकी पेशेवरों को एक अधिक सुरक्षित और अनुपालन वाले भविष्य की ओर मार्गदर्शन मिल सके।

वर्तमान अनुपालन परिदृश्य में Passkeys की भूमिका की सराहना करने के लिए, PCI DSS फ्रेमवर्क और संस्करण 4.0 द्वारा चिह्नित महत्वपूर्ण विकास को समझना महत्वपूर्ण है।

PCI डेटा सिक्योरिटी स्टैंडर्ड एक वैश्विक सूचना सुरक्षा मानक है जिसे पेमेंट डेटा की सुरक्षा के लिए डिज़ाइन किया गया है। यह उन सभी संस्थाओं पर लागू होता है जो कार्डधारक डेटा को स्टोर, प्रोसेस या ट्रांसमिट करती हैं, जिसमें व्यापारी, प्रोसेसर, एक्वायरर, जारीकर्ता और सेवा प्रदाता शामिल हैं। यह मानक प्रमुख पेमेंट कार्ड ब्रांडों द्वारा विकसित किया गया था (American Express, Discover Financial Services, JCB International, MasterCard, और Visa) जिन्होंने 7 सितंबर, 2006 को इसके चल रहे विकास का प्रबंधन करने के लिए PCI सिक्योरिटी स्टैंडर्ड्स काउंसिल (PCI SSC) का गठन किया। PCI DSS में तकनीकी और परिचालन आवश्यकताओं का एक व्यापक सेट होता है, जो पेमेंट डेटा को उसके पूरे जीवनचक्र में सुरक्षित रखने के लिए एक आधार बनाता है।

PCI SSC एक वैश्विक मंच के रूप में काम करता है, जो दुनिया भर में सुरक्षित पेमेंट के लिए डेटा सुरक्षा मानकों और संसाधनों को विकसित करने और अपनाने के लिए पेमेंट उद्योग के हितधारकों को एक साथ लाता है। PCI DSS के अलावा, काउंसिल कई मानकों का प्रबंधन करती है जो पेमेंट सुरक्षा के विभिन्न पहलुओं को संबोधित करते हैं। इसका मिशन वैश्विक पेमेंट खाता डेटा सुरक्षा को बढ़ाना है, ऐसे मानक और सहायक सेवाएँ विकसित करके जो हितधारकों द्वारा शिक्षा, जागरूकता और प्रभावी कार्यान्वयन को बढ़ावा देते हैं।

PCI DSS 4.0 स्टैंडर्ड्स, जो आधिकारिक तौर पर मार्च 2022 में जारी किया गया था, और बाद में हितधारकों की प्रतिक्रिया को संबोधित करने के लिए एक मामूली संशोधन (v4.0.1) किया गया, यह मानक में वर्षों में हुआ सबसे महत्वपूर्ण अपडेट है। इस विकास का मुख्य कारण तेजी से परिष्कृत हो रहे साइबर खतरे के परिदृश्य और पेमेंट उद्योग के भीतर बदलते तकनीकी वातावरण को संबोधित करने की आवश्यकता थी।

PCI DSS 4.0 के मुख्य उद्देश्य हैं:

• पेमेंट उद्योग की विकसित होती सुरक्षा जरूरतों को पूरा करना: यह सुनिश्चित करना कि मानक वर्तमान और उभरते खतरों, जैसे कि AI-आधारित फ़िशिंग के खिलाफ प्रभावी बना रहे।
• सुरक्षा को एक सतत प्रक्रिया के रूप में बढ़ावा देना: ध्यान को एक समय-विशेष के अनुपालन से हटाकर एक चल रहे सुरक्षा अनुशासन पर केंद्रित करना।
• सत्यापन विधियों और प्रक्रियाओं को बढ़ाना: अनुपालन मूल्यांकनों की कठोरता और निरंतरता में सुधार करना।
• लचीलापन जोड़ना और अतिरिक्त पद्धतियों का समर्थन करना: संगठनों को सुरक्षा उद्देश्यों और परिणामों को प्राप्त करने के तरीके में अधिक स्वतंत्रता देना।

PCI DSS 4.0 कई मूलभूत बदलाव पेश करता है जो संगठनों के अनुपालन के दृष्टिकोण को प्रभावित करते हैं:

निर्देशात्मक नियंत्रणों के बजाय सुरक्षा परिणामों पर ध्यान केंद्रित करना

एक महत्वपूर्ण बदलाव मुख्य रूप से निर्देशात्मक नियंत्रणों से हटकर सुरक्षा परिणामों पर जोर देना है। मानक स्वयं इस लचीलेपन पर विस्तार से बताता है:

इस बदलाव का मतलब है कि जहाँ PCI DSS 3.2.1 ने क्या करना है, इस पर विस्तृत निर्देश दिए थे, वहीं संस्करण 4.0 संगठनों को यह तय करने में अधिक लचीलापन देता है कि वे आवश्यकताओं को कैसे पूरा करते हैं। व्यवसाय अपने वातावरण के लिए सबसे उपयुक्त नियंत्रण लागू कर सकते हैं, बशर्ते वे यह प्रदर्शित कर सकें कि ये नियंत्रण बताए गए सुरक्षा उद्देश्यों को प्राप्त करते हैं। यह Passkeys जैसी नवीन तकनीकों को अपनाने के लिए विशेष रूप से प्रासंगिक है, जो पुराने, अधिक कठोर नियंत्रण विवरणों में ठीक से फिट नहीं हो सकती थीं। हालाँकि, इस लचीलेपन के साथ यह उम्मीद की जाती है कि संगठन गहन जोखिम मूल्यांकन करेंगे और अपनी चुनी हुई नियंत्रण पद्धतियों को स्पष्ट रूप से उचित ठहराएंगे।

सतत सुरक्षा (बिजनेस-एज-यूजुअल)

PCI DSS 4.0 में एक और प्रमुख सिद्धांत सुरक्षा को एक सतत, बिजनेस-एज-यूजुअल (BAU) प्रक्रिया के रूप में बढ़ावा देना है। मानक इसे धारा 5 में विस्तार से बताता है:

"बिजनेस-एज-यूजुअल" (BAU) प्रक्रियाओं पर इस जोर का मतलब है कि संगठनों को अपनी नियमित गतिविधियों में सुरक्षा को शामिल करना होगा। यह एक ऐसी संस्कृति को बढ़ावा देने के बारे में है जहाँ सुरक्षा एक बाद का विचार या वार्षिक हड़बड़ी नहीं है, बल्कि संचालन का एक अभिन्न अंग है, जो कार्डधारक डेटा की निरंतर सुरक्षा सुनिश्चित करने के लिए निरंतर निगरानी, नियमित मूल्यांकन और अनुकूली सुरक्षा मुद्राओं को सुनिश्चित करता है। Passkey कार्यान्वयन के लिए, इसका मतलब है उनकी प्रभावशीलता, उपयोगकर्ता अपनाने के पैटर्न और किसी भी उभरते खतरे की निगरानी में निरंतर सतर्कता, जिससे सुरक्षा एक समय-विशेष के अनुपालन अभ्यास के बजाय एक निरंतर प्रयास बन जाती है।

कस्टमाइज्ड कार्यान्वयन और लक्षित जोखिम विश्लेषण

PCI DSS 4.0 में एक महत्वपूर्ण नई सुविधा कस्टमाइज्ड कार्यान्वयन के लिए औपचारिक विकल्प है, जो कठोर जोखिम मूल्यांकन से आंतरिक रूप से जुड़ा हुआ है। मानक इस संबंध को आवश्यकता 12.3.2 में अनिवार्य करता है:

यह औपचारिक विकल्प संगठनों को निर्देशात्मक तरीकों का सख्ती से पालन करने के बजाय, अपने अद्वितीय वातावरण के अनुरूप नई तकनीकों और नवीन नियंत्रणों का उपयोग करके सुरक्षा उद्देश्यों को पूरा करने की अनुमति देता है। हालाँकि, जैसा कि उद्धरण जोर देता है, यह लचीलापन प्रत्येक कस्टमाइज्ड नियंत्रण के लिए एक लक्षित जोखिम विश्लेषण करने पर आधारित है। इस विश्लेषण को प्रलेखित किया जाना चाहिए, वरिष्ठ प्रबंधन द्वारा अनुमोदित किया जाना चाहिए, और सालाना समीक्षा की जानी चाहिए। एक तृतीय-पक्ष मूल्यांकनकर्ता (Qualified Security Assessor या QSA) फिर इन कस्टमाइज्ड नियंत्रणों को संगठन के प्रलेखित दृष्टिकोण की समीक्षा करके मान्य करता है, जिसमें जोखिम विश्लेषण शामिल है, और विशिष्ट परीक्षण प्रक्रियाएं विकसित करता है। यह मार्ग Passkeys जैसे समाधानों के लिए एक प्रमुख प्रवर्तक है, जो संगठनों को उनकी उन्नत सुरक्षा सुविधाओं का प्रभावी ढंग से लाभ उठाने की अनुमति देता है, बशर्ते वे जोखिम मूल्यांकन के माध्यम से यह प्रदर्शित कर सकें कि उनका दृष्टिकोण सुरक्षा उद्देश्यों को पूरा करता है। मजबूत जोखिम विश्लेषण द्वारा समर्थित, कार्यान्वयन को कस्टमाइज करने की क्षमता यह दर्शाती है कि खतरों और रक्षात्मक तकनीकों दोनों के तेजी से विकास के कारण कठोर, निर्देशात्मक नियंत्रण समय के साथ कम अनुकूलनीय हो जाते हैं।

संक्रमण समय-सीमा

PCI DSS 3.2.1, 31 मार्च, 2024 तक v4.0 के साथ सक्रिय रहा, जिसके बाद इसे रिटायर कर दिया गया। PCI DSS 4.0 में पेश की गई नई आवश्यकताएं 31 मार्च, 2025 तक सर्वोत्तम अभ्यास मानी जाती थीं। इस तारीख के बाद, ये नई आवश्यकताएं सभी मूल्यांकनों के लिए अनिवार्य हो जाएंगी। इस चरणबद्ध दृष्टिकोण ने संगठनों को बदलावों को समझने, योजना बनाने और लागू करने के लिए एक अवसर प्रदान किया।

ये बदलाव सामूहिक रूप से पेमेंट कार्ड सुरक्षा के लिए एक अधिक परिपक्व, अनुकूलनीय और जोखिम-केंद्रित दृष्टिकोण का संकेत देते हैं, जो मजबूत, अधिक आधुनिक प्रमाणीकरण तंत्र को अपनाने के लिए मंच तैयार करते हैं।

PCI DSS आवश्यकताओं का पालन करने में विफलता केवल एक चूक नहीं है; इसके महत्वपूर्ण और बहुआयामी परिणाम होते हैं जो किसी संगठन की वित्तीय स्थिरता, कानूनी स्थिति और प्रतिष्ठा को गंभीर रूप से प्रभावित कर सकते हैं।

गैर-अनुपालन का सबसे सीधा परिणाम वित्तीय दंड लगाना है। ये जुर्माने आमतौर पर अधिग्रहण करने वाले बैंकों और पेमेंट प्रोसेसर द्वारा लगाए जाते हैं, सीधे PCI SSC द्वारा नहीं। दंड पर्याप्त हो सकते हैं, जो $5,000 से $100,000 प्रति माह तक हो सकते हैं, यह संसाधित लेनदेन की मात्रा (जो व्यापारी स्तर निर्धारित करती है, जैसे, सालाना 6 मिलियन से अधिक लेनदेन के लिए लेवल 1 बनाम 20,000 से कम ई-कॉमर्स लेनदेन के लिए लेवल 4) और गैर-अनुपालन की अवधि और गंभीरता पर निर्भर करता है। उदाहरण के लिए, एक लेवल 1 व्यापारी जो कई महीनों तक गैर-अनुपालन में है, उसे इस सीमा के उच्च अंत में दंड का सामना करने की अधिक संभावना है, जबकि छोटे लेवल 4 व्यवसायों को मासिक रूप से $5,000 के करीब जुर्माना लग सकता है।

यह समझना महत्वपूर्ण है कि ये जुर्माने एक आवर्ती मासिक बोझ हो सकते हैं। यह लगातार वित्तीय दबाव, जो संभावित रूप से बढ़ी हुई लेनदेन शुल्क से बढ़ सकता है जिसे पेमेंट प्रोसेसर गैर-अनुपालन वाले व्यवसायों से वसूल सकते हैं, इसका मतलब है कि गैर-अनुपालन की संचयी लागत अनुपालन प्राप्त करने और बनाए रखने के लिए आवश्यक निवेश से कहीं अधिक है। यह अनुपालन को केवल एक लागत केंद्र के रूप में नहीं, बल्कि एक महत्वपूर्ण जोखिम शमन निवेश के रूप में फिर से परिभाषित करता है। मजबूत सुरक्षा उपायों में निवेश करना, जिसमें Passkeys जैसे मजबूत प्रमाणीकरण शामिल हैं, इन बड़े, अक्सर अप्रत्याशित और संभावित रूप से विनाशकारी लागतों से बचने के लिए एक वित्तीय रूप से विवेकपूर्ण निर्णय बन जाता है।

सीधे जुर्माने के अलावा, गैर-अनुपालन गंभीर कानूनी चुनौतियों का कारण बन सकता है, खासकर अगर इसके परिणामस्वरूप डेटा उल्लंघन होता है। जिन ग्राहकों का डेटा समझौता होता है, वे मुकदमे शुरू कर सकते हैं, और कार्ड ब्रांड भी कानूनी कार्रवाई कर सकते हैं। गैर-अनुपालन की स्थिति वादियों के लिए संगठन की ओर से लापरवाही का प्रदर्शन करना काफी आसान बना सकती है, जिससे संभावित रूप से महंगे निपटान और निर्णय हो सकते हैं।

शायद सबसे हानिकारक, यद्यपि कम मात्रात्मक, परिणामों में से एक संगठन की प्रतिष्ठा को होने वाला नुकसान है। एक भी अनुपालन विफलता, विशेष रूप से जो डेटा उल्लंघन की ओर ले जाती है, ग्राहक विश्वास को गंभीर रूप से नष्ट कर सकती है। एक बार खो जाने के बाद, इस विश्वास को फिर से हासिल करना मुश्किल होता है, जिसके परिणामस्वरूप अक्सर ग्राहक मंथन, प्रतिस्पर्धियों को व्यवसाय का नुकसान, और ब्रांड की छवि को दीर्घकालिक नुकसान होता है। बार-बार या गंभीर उल्लंघन के कारण कार्ड ब्रांडों या अधिग्रहण करने वाले बैंकों द्वारा संगठन के पेमेंट प्रसंस्करण विशेषाधिकारों को रद्द किया जा सकता है, जिससे कार्ड पेमेंट स्वीकार करने की उनकी क्षमता प्रभावी रूप से समाप्त हो जाती है। यह अनुपालन को केवल एक तकनीकी आवश्यकता के रूप में नहीं, बल्कि ब्रांड विश्वास और व्यावसायिक निरंतरता के एक मौलिक घटक के रूप में देखने के महत्व को रेखांकित करता है।

यदि गैर-अनुपालन डेटा उल्लंघन में योगदान देता है, तो संगठन जुर्माने और कानूनी शुल्क के अलावा पर्याप्त मुआवजा लागत के लिए जिम्मेदार होगा। इन लागतों में प्रभावित ग्राहकों को मुफ्त क्रेडिट निगरानी, पहचान की चोरी बीमा, और धोखाधड़ी के शुल्कों या सेवा शुल्कों के लिए प्रतिपूर्ति जैसी सेवाएं प्रदान करना शामिल हो सकता है। इसके अलावा, समझौता किए गए पेमेंट कार्डों को फिर से जारी करने की लागत, प्रति कार्ड $3 से $5 अनुमानित, बड़ी संख्या में कार्डधारकों को प्रभावित करने वाले उल्लंघनों के लिए जल्दी से लाखों डॉलर तक बढ़ सकती है। इसके विपरीत, यदि कोई संगठन पूरी तरह से PCI DSS अनुपालन में रहते हुए उल्लंघन का सामना करता है, तो संबंधित जुर्माने कम किए जा सकते हैं या समाप्त भी किए जा सकते हैं, क्योंकि अनुपालन लापरवाही के बजाय उचित परिश्रम और सुरक्षा के प्रति प्रतिबद्धता को दर्शाता है।

संभावित नकारात्मक परिणामों की श्रृंखला यह उजागर करती है कि PCI DSS अनुपालन पेमेंट कार्ड इकोसिस्टम में शामिल किसी भी इकाई के लिए आधुनिक व्यावसायिक संचालन का एक अनिवार्य पहलू है।

PCI DSS की आवश्यकता 8 हमेशा से मानक का एक आधारशिला रही है। संस्करण 4.0 के साथ, इसके प्रावधानों को काफी मजबूत किया गया है, जो संवेदनशील कार्डधारक डेटा और इसे संसाधित करने वाले सिस्टम तक अनधिकृत पहुँच को रोकने में मजबूत प्रमाणीकरण की महत्वपूर्ण भूमिका को दर्शाता है।

आवश्यकता 8 का प्राथमिक उद्देश्य यह सुनिश्चित करना है कि कार्डधारक डेटा एनवायरनमेंट (CDE) के भीतर या उससे जुड़े सिस्टम घटकों तक पहुँचने वाले प्रत्येक व्यक्ति की विशिष्ट रूप से पहचान की जा सके और उसे मजबूती से प्रमाणित किया जा सके। यह कार्डधारक डेटा की अखंडता और सुरक्षा को बनाए रखने के लिए महत्वपूर्ण है, अनधिकृत पहुँच को रोककर और यह सुनिश्चित करके कि सभी कार्यों को एक विशिष्ट, ज्ञात उपयोगकर्ता तक वापस खोजा जा सकता है, जिससे व्यक्तिगत जवाबदेही स्थापित होती है।

PCI DSS 4.0 में एक बड़ा विकास मल्टी-फैक्टर ऑथेंटिकेशन (MFA) आवश्यकताओं का विस्तार और सुदृढीकरण है:

• CDE पहुँच के लिए सार्वभौमिक MFA: PCI DSS 3.2.1 के विपरीत, जिसने मुख्य रूप से प्रशासनिक पहुँच और CDE तक सभी दूरस्थ पहुँच के लिए MFA को अनिवार्य किया था, संस्करण 4.0 CDE में सभी पहुँच के लिए MFA की आवश्यकता है। इसमें प्रशासकों, सामान्य उपयोगकर्ताओं और तृतीय-पक्ष विक्रेताओं द्वारा पहुँच शामिल है, भले ही पहुँच नेटवर्क के भीतर से हो या बाहर से। यह महत्वपूर्ण विस्तार MFA को एक मौलिक सुरक्षा नियंत्रण के रूप में PCI SSC की मान्यता को रेखांकित करता है। मानक इन आवश्यकताओं को निर्दिष्ट करता है:

  आवश्यकता 8 के अंश

  "8.4.1 प्रशासनिक पहुँच वाले कर्मियों के लिए CDE में सभी गैर-कंसोल पहुँच के लिए MFA लागू किया गया है।" 

  "8.4.3 इकाई के नेटवर्क के बाहर से उत्पन्न होने वाली सभी दूरस्थ पहुँच के लिए MFA लागू किया गया है जो CDE तक पहुँच या उसे प्रभावित कर सकती है।" 

• कारक आवश्यकताएँ: MFA कार्यान्वयन को तीन मान्यता प्राप्त प्रमाणीकरण कारक प्रकारों में से कम से कम दो का उपयोग करना चाहिए:

  • कुछ ऐसा जो आप जानते हैं (जैसे, पासवर्ड, PIN)
  • कुछ ऐसा जो आपके पास है (जैसे, एक टोकन डिवाइस, स्मार्ट कार्ड, या एक पासकी रखने वाला डिवाइस)
  • कुछ ऐसा जो आप हैं (जैसे, फिंगरप्रिंट या चेहरे की पहचान जैसे बायोमेट्रिक डेटा)। महत्वपूर्ण रूप से, ये कारक स्वतंत्र होने चाहिए, जिसका अर्थ है कि एक कारक का समझौता दूसरों को समझौता नहीं करता है।

• MFA सिस्टम की अखंडता: MFA सिस्टम को रीप्ले हमलों (जहाँ एक हमलावर प्रमाणीकरण डेटा को रोकता है और पुन: उपयोग करता है) का विरोध करने के लिए डिज़ाइन किया जाना चाहिए और सभी आवश्यक प्रमाणीकरण कारकों के सफलतापूर्वक मान्य होने के बाद ही पहुँच प्रदान करनी चाहिए।

• कोई अनधिकृत बाईपास नहीं: MFA को किसी भी उपयोगकर्ता, जिसमें प्रशासक भी शामिल हैं, द्वारा बाईपास नहीं किया जाना चाहिए, जब तक कि प्रबंधन द्वारा एक सीमित समय अवधि के लिए प्रति-उदाहरण के आधार पर एक विशिष्ट, प्रलेखित अपवाद प्रदान नहीं किया जाता है।

• फ़िशिंग-प्रतिरोधी प्रमाणीकरण एक अपवाद के रूप में: PCI DSS 4.0 फ़िशिंग-प्रतिरोधी प्रमाणीकरण कारकों के संबंध में अतिरिक्त मार्गदर्शन भी प्रस्तुत करता है, जो कुछ मामलों में, MFA के इरादे को पूरा कर सकते हैं।

  आवश्यकता 8 के अंश

  "यह आवश्यकता उन... उपयोगकर्ता खातों पर लागू नहीं होती है जो केवल फ़िशिंग-प्रतिरोधी प्रमाणीकरण कारकों के साथ प्रमाणित होते हैं।" — 8.4.2 के लिए प्रयोज्यता नोट्स 

  "फ़िशिंग-प्रतिरोधी प्रमाणीकरण... फ़िशिंग-प्रतिरोधी प्रमाणीकरण के उदाहरणों में FIDO2 शामिल है।" — परिशिष्ट G, फ़िशिंग प्रतिरोधी प्रमाणीकरण की शब्दावली परिभाषा 

  इन अंशों द्वारा उजागर किए गए फ़िशिंग-प्रतिरोधी प्रमाणीकरण के निहितार्थों का अगले खंड (4.3) में और पता लगाया जाएगा।

PCI DSS 4.0 फ़िशिंग-प्रतिरोधी प्रमाणीकरण विधियों के उपयोग पर एक उल्लेखनीय जोर देता है। यह पारंपरिक क्रेडेंशियल्स से समझौता करने में फ़िशिंग हमलों की व्यापकता और सफलता की सीधी प्रतिक्रिया है।

• MFA के विकल्प/पूरक के रूप में फ़िशिंग-प्रतिरोधी प्रमाणीकरण:
  • आवश्यकता 8.4.2 के तहत एक महत्वपूर्ण विकास यह है कि फ़िशिंग-प्रतिरोधी प्रमाणीकरण विधियों का उपयोग इकाई के नेटवर्क के भीतर से CDE में सभी गैर-प्रशासनिक पहुँच के लिए पारंपरिक MFA के स्थान पर किया जा सकता है। यह Passkeys जैसी तकनीकों के लिए एक महत्वपूर्ण प्रावधान है, जो स्वाभाविक रूप से फ़िशिंग-प्रतिरोधी हैं। यह संकेत देता है कि PCI SSC इन उन्नत विधियों को इस विशिष्ट उपयोग के मामले के लिए कुछ पारंपरिक MFA संयोजनों के बराबर या बेहतर आश्वासन प्रदान करने के रूप में देखता है।

**हालाँकि, CDE तक प्रशासनिक पहुँच (आवश्यकता 8.4.1) और इकाई के नेटवर्क के बाहर से CDE में सभी दूरस्थ पहुँच (आवश्यकता 8.4.3) के लिए, जबकि फ़िशिंग-प्रतिरोधी प्रमाणीकरण की दृढ़ता से अनुशंसा की जाती है, इसे MFA आवश्यकता को पूरा करने के लिए कम से कम एक अन्य प्रमाणीकरण कारक के साथ जोड़ा जाना चाहिए। यह अंतर पासकी कार्यान्वयन के लिए एक सूक्ष्म दृष्टिकोण की आवश्यकता है, संभावित रूप से एक स्तरीय रणनीति जहाँ सामान्य आंतरिक उपयोगकर्ताओं के लिए अकेले Passkeys पर्याप्त हैं, लेकिन उच्च-जोखिम पहुँच परिदृश्यों के लिए Passkeys को दूसरे कारक के साथ जोड़ा जाता है।

• FIDO पावती और विशेषज्ञ अंतर्दृष्टि: मानक विशेष रूप से FIDO-आधारित प्रमाणीकरण (जो Passkeys को रेखांकित करता है) का उल्लेख MFA प्राप्त करने के लिए एक पसंदीदा विधि के रूप में करता है, बड़े पैमाने पर इसकी मजबूत फ़िशिंग-प्रतिरोधी विशेषताओं के कारण। इस विषय पर और अंतर्दृष्टि PCI SSC के "कॉफी विद द काउंसिल" पॉडकास्ट एपिसोड, "पासवर्ड बनाम Passkeys: FIDO एलायंस के साथ एक चर्चा" में साझा की गई थी (https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance)।

  पॉडकास्ट में, PCI SSC के VP डिस्टिंग्विश्ड स्टैंडर्ड्स आर्किटेक्ट, एंड्रयू जैमिसन ने इन तकनीकों के मूल्य पर जोर दिया:

  "मैं दोहराऊंगा कि मुझे लगता है कि फ़िशिंग-प्रतिरोधी प्रमाणीकरण एक बेहतरीन तकनीक है। यह कुछ ऐसा है जो हमारे पास पासवर्ड के साथ होने वाली बहुत सारी समस्याओं को हल कर सकता है। और मैं दृढ़ता से सुझाव दूंगा कि जब लोग यह देख रहे हों कि वे प्रमाणीकरण के लिए कौन सी तकनीकें लागू करने जा रहे हैं, तो वे फ़िशिंग-प्रतिरोधी प्रमाणीकरण और यह क्या ला सकता है, इस पर एक नज़र डालें, लेकिन यह भी समझें कि यह लोगों के आदी होने से थोड़ा अलग है और यह देखें कि वे इसे अपने समग्र प्रमाणीकरण वास्तुकला में सही और सुरक्षित रूप से कैसे एकीकृत कर सकते हैं।"

  FIDO एलायंस की मुख्य विपणन अधिकारी मेगन शमास (FIDO लीडरशिप देखें) ने इन तकनीकों द्वारा दर्शाए गए मौलिक बदलाव और नीतियों को अनुकूलित करने की आवश्यकता पर प्रकाश डाला:

  "यह मौलिक रूप से पासवर्ड प्लस फैक्टर, फैक्टर, फैक्टर के साथ हमारे आदी होने से अलग है, और हमने तकनीक विकसित की है और अब लोगों को भी अपनी आवश्यकताओं और अपनी नीतियों को इसके साथ विकसित करने की आवश्यकता है। और यह वास्तव में संगठनों को फ़िशिंग योग्य प्रमाणीकरण से छुटकारा पाने के सही रास्ते पर लाने में मदद करेगा।"

  यह संयुक्त परिप्रेक्ष्य उद्योग के अधिक सुरक्षित, आधुनिक प्रमाणीकरण विधियों की ओर बढ़ने को रेखांकित करता है।

जबकि PCI DSS 4.0 MFA और फ़िशिंग-प्रतिरोधी तरीकों की ओर दृढ़ता से जोर देता है, यह पासवर्ड और पासफ्रेज़ के लिए आवश्यकताओं को भी कड़ा करता है यदि वे अभी भी उपयोग में हैं:

• बढ़ी हुई लंबाई और जटिलता: न्यूनतम पासवर्ड की लंबाई v3.2.1 में सात वर्णों से बढ़ाकर v4.0 में 12 वर्ण कर दी गई है (या कम से कम 8 वर्ण यदि सिस्टम 12 का समर्थन नहीं करता है)। पासवर्ड में संख्यात्मक और वर्णानुक्रमिक वर्णों का मिश्रण भी शामिल होना चाहिए।
• पासवर्ड बदलने की आवृत्ति: पासवर्ड को कम से कम हर 90 दिनों में बदला जाना चाहिए यदि वे प्रमाणीकरण के लिए उपयोग किए जाने वाले एकमात्र कारक हैं (यानी, उस खाते पर उस पहुँच के लिए कोई MFA लागू नहीं है)। यह आवश्यकता माफ की जा सकती है यदि पहुँच के लिए MFA लागू किया गया है, या यदि संगठन निरंतर, जोखिम-आधारित प्रमाणीकरण का उपयोग करता है जो वास्तविक समय में पहुँच का गतिशील रूप से मूल्यांकन करता है।

पासवर्ड नियमों को महत्वपूर्ण रूप से मजबूत करना, विस्तारित MFA जनादेश और फ़िशिंग-प्रतिरोधी दृष्टिकोणों के स्पष्ट समर्थन के साथ, PCI SSC से एक रणनीतिक दिशा का संकेत देता है: प्राथमिक या एकमात्र प्रमाणीकरण तंत्र के रूप में पासवर्ड पर निर्भरता को व्यवस्थित रूप से कम करना। पासवर्ड को लंबे समय से सुरक्षा में एक कमजोर कड़ी के रूप में पहचाना जाता रहा है, और PCI DSS 4.0 उनके स्टैंडअलोन उपयोग को अधिक कठोर और कम आकर्षक बनाकर, और साथ ही मजबूत, आधुनिक विकल्पों को बढ़ावा देकर उनके अंतर्निहित जोखिमों को सक्रिय रूप से कम करने का प्रयास करता है।

इन बदलावों को स्पष्ट रूप से दर्शाने के लिए, निम्न तालिका PCI DSS 3.2.1 और 4.0 के बीच प्रमुख प्रमाणीकरण पहलुओं की तुलना करती है:

तालिका 1: प्रमाणीकरण में मुख्य अंतर: PCI DSS 3.2.1 बनाम 4.0

PCI DSS 4.0 में प्रमाणीकरण पर यह बढ़ा हुआ ध्यान संगठनों के लिए अपनी वर्तमान रणनीतियों का पुनर्मूल्यांकन करने और Passkeys जैसे अधिक लचीले समाधानों का पता लगाने के लिए एक स्पष्ट दिशा निर्धारित करता है।

FIDO एलायंस मानकों के आधार पर, Passkeys पारंपरिक पासवर्ड और यहां तक कि कुछ प्रकार के पुराने MFA के लिए एक मौलिक रूप से अधिक सुरक्षित और उपयोगकर्ता-अनुकूल विकल्प प्रदान करते हैं।

एक पासकी एक डिजिटल क्रेडेंशियल है जो उपयोगकर्ताओं को पासवर्ड दर्ज किए बिना वेबसाइटों और एप्लिकेशन में साइन इन करने की अनुमति देता है। वे FIDO2 मानकों पर बने हैं, जो FIDO एलायंस द्वारा विकसित खुले विनिर्देशों का एक सेट है। WebAuthn एक वर्ल्ड वाइड वेब कंसोर्टियम (W3C) मानक है जो ब्राउज़रों और वेब अनुप्रयोगों को क्रिप्टोग्राफ़िक कुंजी जोड़े का उपयोग करके मजबूत, फ़िशिंग-प्रतिरोधी प्रमाणीकरण करने में सक्षम बनाता है। अनिवार्य रूप से, Passkeys इन FIDO2 मानकों का एक कार्यान्वयन है, जो वेब वातावरण में इंटरैक्शन के लिए WebAuthn का लाभ उठाते हैं। वे पारंपरिक पासवर्ड को उपयोगकर्ता के डिवाइस पर सुरक्षित रूप से संग्रहीत अद्वितीय क्रिप्टोग्राफ़िक कुंजियों से बदल देते हैं, जैसे कि स्मार्टफोन, कंप्यूटर, या हार्डवेयर सुरक्षा कुंजी।

Passkeys की सुरक्षा पब्लिक-की क्रिप्टोग्राफी में निहित है। जब कोई उपयोगकर्ता किसी सेवा ( "रिलाइंग पार्टी" या RP) के साथ एक पासकी पंजीकृत करता है, तो एक अद्वितीय क्रिप्टोग्राफ़िक कुंजी जोड़ी उत्पन्न होती है:

• एक प्राइवेट की, जो उपयोगकर्ता के डिवाइस पर सुरक्षित रूप से संग्रहीत होती है। यह कुंजी एक हार्डवेयर सुरक्षा मॉड्यूल (जैसे, एक TPM या सिक्योर एन्क्लेव) के भीतर रह सकती है। प्राइवेट की इस सुरक्षित भंडारण को कभी नहीं छोड़ती है (सिंक किए गए Passkeys के मामले को छोड़कर, जैसा कि बाद में विस्तार से बताया जाएगा)।
• एक पब्लिक की, जिसे रिलाइंग पार्टी (वेबसाइट या एप्लिकेशन सेवा) को भेजा और संग्रहीत किया जाता है और उपयोगकर्ता के खाते से संबद्ध किया जाता है।

प्रमाणीकरण के दौरान, प्रक्रिया इस प्रकार है:

1. रिलाइंग पार्टी उपयोगकर्ता के डिवाइस पर एक अद्वितीय "चैलेंज" (डेटा का एक यादृच्छिक टुकड़ा) भेजती है।
2. प्राइवेट की को अनलॉक करने और उपयोग करने के लिए, उपयोगकर्ता अपने डिवाइस पर एक स्थानीय सत्यापन करता है। इसमें आमतौर पर एक बायोमेट्रिक पहचानकर्ता (जैसे फिंगरप्रिंट या चेहरे का स्कैन) का उपयोग करना, एक डिवाइस PIN दर्ज करना, या एक पैटर्न बनाना शामिल है। महत्वपूर्ण रूप से, यह बायोमेट्रिक डेटा या PIN कभी भी उपयोगकर्ता के डिवाइस को नहीं छोड़ता है और रिलाइंग पार्टी को प्रेषित नहीं किया जाता है।
3. एक बार अनलॉक होने के बाद, डिवाइस पर प्राइवेट की रिलाइंग पार्टी से प्राप्त चैलेंज पर हस्ताक्षर करती है।
4. यह हस्ताक्षरित चैलेंज ( "असर्शन") रिलाइंग पार्टी को वापस भेज दिया जाता है।
5. रिलाइंग पार्टी उस उपयोगकर्ता के अनुरूप संग्रहीत पब्लिक की का उपयोग असर्शन पर हस्ताक्षर को सत्यापित करने के लिए करती है। यदि हस्ताक्षर मान्य है, तो प्रमाणीकरण सफल होता है।

मुख्य रूप से दो प्रकार के Passkeys होते हैं:

• सिंक किए गए Passkeys: इन Passkeys को उपयोगकर्ता के विश्वसनीय उपकरणों में क्लाउड-आधारित क्रेडेंशियल प्रबंधकों जैसे Apple के iCloud Keychain या Google Password Manager का उपयोग करके सिंक्रनाइज़ किया जा सकता है। यह सुविधा प्रदान करता है, जिससे एक डिवाइस पर बनाया गया पासकी उसी उपयोगकर्ता के स्वामित्व वाले दूसरे डिवाइस पर उसी इकोसिस्टम के भीतर उपयोग किया जा सकता है।
• डिवाइस-बाउंड Passkeys: ये Passkeys एक विशिष्ट भौतिक ऑथेंटिकेटर से बंधे होते हैं, जैसे कि एक USB हार्डवेयर सुरक्षा कुंजी (जैसे, YubiKey) या किसी विशेष फोन पर एक एप्लिकेशन। पासकी इस विशिष्ट डिवाइस को नहीं छोड़ता है।

यह क्रिप्टोग्राफ़िक नींव और स्थानीय उपयोगकर्ता सत्यापन प्रक्रिया अंतर्निहित सुरक्षा लाभ प्रदान करती है जो सीधे कई सामान्य हमले वैक्टर को संबोधित करती है।

Passkeys का डिज़ाइन पारंपरिक प्रमाणीकरण विधियों पर कई सुरक्षा लाभ प्रदान करता है:

• फ़िशिंग प्रतिरोध: यह एक आधारशिला लाभ है। Passkeys क्रिप्टोग्राफ़िक रूप से उस विशिष्ट वेबसाइट ओरिजिन (रिलाइंग पार्टी आईडी या RP ID) से बंधे होते हैं जिसके लिए वे बनाए गए थे। यदि किसी उपयोगकर्ता को एक नकली फ़िशिंग साइट पर जाने के लिए धोखा दिया जाता है जो एक वैध साइट की नकल करती है, तो ब्राउज़र या ऑपरेटिंग सिस्टम यह पहचान लेगा कि वर्तमान डोमेन पासकी से जुड़े RP ID से मेल नहीं खाता है। परिणामस्वरूप, पासकी बस काम नहीं करेगा, और प्रमाणीकरण विफल हो जाएगा। यह फ़िशिंग प्रयासों की पहचान करने का बोझ अक्सर-गलत मानव उपयोगकर्ता से प्रौद्योगिकी के मजबूत सुरक्षा प्रोटोकॉल पर स्थानांतरित कर देता है।
• कोई साझा रहस्य नहीं: Passkeys के साथ, पासवर्ड जैसा कोई "साझा रहस्य" नहीं होता है जो उपयोगकर्ता और सर्वर दोनों को पता हो, और जिसे चुराया जा सके। प्राइवेट की, जो प्रमाणीकरण के लिए महत्वपूर्ण घटक है, कभी भी उपयोगकर्ता के सुरक्षित डिवाइस को नहीं छोड़ती है। सर्वर द्वारा संग्रहीत पब्लिक की, गणितीय रूप से प्राइवेट की से जुड़ी होती है, लेकिन इसका उपयोग प्राइवेट की को प्राप्त करने या उपयोगकर्ता का प्रतिरूपण करने के लिए नहीं किया जा सकता है। इसका मतलब है कि भले ही किसी रिलाइंग पार्टी के सर्वर का उल्लंघन हो और पब्लिक की चोरी हो जाएं, वे हमलावरों के लिए संबंधित प्राइवेट की के बिना बेकार हैं।
• क्रेडेंशियल स्टफिंग और रीप्ले हमलों के खिलाफ सुरक्षा: क्रेडेंशियल स्टफिंग हमले, जहां हमलावर विभिन्न खातों तक पहुँच प्राप्त करने के लिए चोरी किए गए उपयोगकर्ता नाम और पासवर्ड की सूचियों का उपयोग करते हैं, अप्रभावी हो जाते हैं क्योंकि चोरी करने और पुन: उपयोग करने के लिए कोई पासवर्ड नहीं होता है। इसके अलावा, प्रत्येक पासकी प्रमाणीकरण में एक अद्वितीय चैलेंज-रिस्पांस तंत्र शामिल होता है। प्राइवेट की द्वारा उत्पन्न हस्ताक्षर उस विशेष लॉगिन सत्र के लिए प्राप्त चैलेंज के लिए विशिष्ट होता है, जिससे एक हमलावर के लिए प्रमाणीकरण असर्शन को रोकना और बाद में अनधिकृत पहुँच प्राप्त करने के लिए इसे फिर से चलाना असंभव हो जाता है।
• अकाउंट टेकओवर (ATO) जोखिम में महत्वपूर्ण कमी: फ़िशिंग को प्रभावी ढंग से बेअसर करके, साझा रहस्यों को समाप्त करके, और क्रेडेंशियल स्टफिंग और रीप्ले हमलों को रोककर, Passkeys अकाउंट टेकओवर के लिए उपयोग किए जाने वाले प्राथमिक हमले वैक्टर को काफी कम कर देते हैं। चूंकि हमलावर आसानी से उपयोगकर्ता के प्रमाणीकरण क्रेडेंशियल्स को प्राप्त या दुरुपयोग नहीं कर सकते हैं, सफल ATO की संभावना बहुत कम हो जाती है।

ज्ञान-आधारित प्रमाणीकरण (जो एक उपयोगकर्ता जानता है, जैसे पासवर्ड) से कब्जे-आधारित (जो एक उपयोगकर्ता के पास है - उनकी सुरक्षित कुंजी वाला डिवाइस) और निहित-आधारित या स्थानीय ज्ञान-आधारित (जो एक उपयोगकर्ता बायोमेट्रिक्स के माध्यम से है, या जो वे स्थानीय रूप से एक डिवाइस PIN के माध्यम से जानते हैं) के संयोजन में यह मौलिक बदलाव उन हमले श्रृंखलाओं को मौलिक रूप से तोड़ देता है जो दूरस्थ रूप से उपयोग करने योग्य साझा रहस्यों से समझौता करने पर निर्भर करती हैं। कई सुरक्षा उपायों के विपरीत जो घर्षण जोड़ते हैं, Passkeys अक्सर जटिल पासवर्ड याद रखने की आवश्यकता के बिना तेज, सरल लॉगिन की पेशकश करके उपयोगकर्ता अनुभव में सुधार करते हैं, एक दोहरा लाभ जो अपनाने को बढ़ावा दे सकता है और समग्र सुरक्षा मुद्रा को बढ़ा सकता है।

Passkeys में निहित मजबूत सुरक्षा सुविधाएँ PCI DSS 4.0 द्वारा अनिवार्य किए गए मजबूत प्रमाणीकरण नियंत्रणों के साथ उल्लेखनीय रूप से अच्छी तरह से संरेखित होती हैं, विशेष रूप से आवश्यकता 8 में उल्लिखित। Passkeys न केवल इन आवश्यकताओं को पूरा करते हैं बल्कि अक्सर पारंपरिक तरीकों द्वारा प्रदान की जाने वाली सुरक्षा से भी बेहतर होते हैं।

Passkeys स्वाभाविक रूप से PCI DSS 4.0 द्वारा परिभाषित मल्टी-फैक्टर ऑथेंटिकेशन के मूल सिद्धांतों को पूरा करते हैं:

• मल्टी-फैक्टर प्रकृति: एक पासकी प्रमाणीकरण घटना में आमतौर पर "कुछ ऐसा जो आपके पास है" (प्राइवेट की वाला भौतिक उपकरण, जैसे स्मार्टफोन या हार्डवेयर सुरक्षा कुंजी) को या तो "कुछ ऐसा जो आप हैं" (एक बायोमेट्रिक जैसे फिंगरप्रिंट या चेहरे का स्कैन जिसका उपयोग डिवाइस पर पासकी को अनलॉक करने के लिए किया जाता है) या "कुछ ऐसा जो आप जानते हैं" (एक डिवाइस PIN या पैटर्न) के साथ जोड़ा जाता है। ये कारक स्वतंत्र हैं; उदाहरण के लिए, एक डिवाइस PIN से समझौता करना, क्रिप्टोग्राफ़िक कुंजी से समझौता नहीं करता है यदि डिवाइस स्वयं सुरक्षित रहता है।
• फ़िशिंग प्रतिरोध: जैसा कि बड़े पैमाने पर चर्चा की गई है, Passkeys अपनी क्रिप्टोग्राफ़िक प्रकृति और ओरिजिन-बाइंडिंग के कारण डिज़ाइन द्वारा फ़िशिंग-प्रतिरोधी हैं। प्राइवेट की कभी भी रिलाइंग पार्टी के सामने उजागर नहीं होती है या नेटवर्क पर प्रसारित नहीं होती है, और पासकी केवल उस वैध डोमेन पर काम करेगा जिसके लिए इसे पंजीकृत किया गया था। यह सीधे PCI DSS 4.0 के फ़िशिंग खतरों को कम करने पर मजबूत जोर के साथ संरेखित होता है।
• रीप्ले प्रतिरोध: प्रत्येक पासकी प्रमाणीकरण में सर्वर से एक अद्वितीय क्रिप्टोग्राफ़िक चैलेंज शामिल होता है, जिस पर फिर प्राइवेट की द्वारा हस्ताक्षर किए जाते हैं। परिणामी हस्ताक्षर केवल उस विशिष्ट चैलेंज और सत्र के लिए मान्य है, जो इसे रीप्ले हमलों के प्रतिरोधी बनाता है। यह आवश्यकता 8.5 को पूरा करता है, जो यह अनिवार्य करता है कि MFA सिस्टम को ऐसे हमलों को रोकना चाहिए।

पारंपरिक पासवर्ड की तुलना में, Passkeys एक बहुत बेहतर सुरक्षा मॉडल प्रदान करते हैं। पासवर्ड कई हमलों के प्रति संवेदनशील होते हैं: फ़िशिंग, सोशल इंजीनियरिंग, पासवर्ड के पुन: उपयोग के कारण क्रेडेंशियल स्टफिंग, ब्रूट-फोर्स हमले, और भंग डेटाबेस से चोरी। Passkeys साझा रहस्य (पासवर्ड) को समीकरण से पूरी तरह से हटाकर इन कमजोरियों को समाप्त कर देते हैं। प्रमाणीकरण एक प्राइवेट की के कब्जे के क्रिप्टोग्राफ़िक प्रमाण पर निर्भर करता है, जो स्वयं स्थानीय डिवाइस सुरक्षा द्वारा संरक्षित है, न कि एक रहस्य पर जिसे आसानी से चुराया या अनुमान लगाया जा सकता है।

PCI सिक्योरिटी स्टैंडर्ड्स काउंसिल ने पासकी तकनीक की क्षमता को स्वीकार किया है। PCI SSC के "कॉफी विद द काउंसिल" पॉडकास्ट से मिली अंतर्दृष्टि, जिसमें FIDO एलायंस के साथ एक चर्चा शामिल है, उनके रुख पर स्पष्टता प्रदान करती है:

• इकाई के नेटवर्क के भीतर से कार्डधारक डेटा एनवायरनमेंट (CDE) में गैर-प्रशासनिक पहुँच के लिए (आवश्यकता 8.4.2), PCI SSC इंगित करता है कि Passkeys जैसे फ़िशिंग-प्रतिरोधी प्रमाणीकरण विधियों का उपयोग पारंपरिक MFA के स्थान पर किया जा सकता है। यह Passkeys की ताकत की एक महत्वपूर्ण स्वीकृति है।
• CDE तक प्रशासनिक पहुँच (आवश्यकता 8.4.1) और नेटवर्क में किसी भी दूरस्थ पहुँच (आवश्यकता 8.4.3) के लिए, जबकि Passkeys (फ़िशिंग-प्रतिरोधी प्रमाणीकरण के रूप में) की सिफारिश की जाती है, उन्हें MFA आवश्यकता को पूरा करने के लिए दूसरे प्रमाणीकरण कारक के साथ संयोजन में उपयोग किया जाना चाहिए। यह एक जोखिम-आधारित दृष्टिकोण का सुझाव देता है जहाँ उच्च-विशेषाधिकार या उच्च-जोखिम पहुँच परिदृश्यों के लिए एक अतिरिक्त परत की मांग होती है।
• PCI SSC सक्रिय रूप से मार्गदर्शन विकसित कर रहा है, जैसे कि FAQs, ताकि संगठनों को यह समझने में मदद मिल सके कि Passkeys को अनुपालन तरीके से कैसे लागू किया जाए और यह मानता है कि Passkeys पारंपरिक पासवर्ड-आधारित सोच से एक मौलिक बदलाव का प्रतिनिधित्व करते हैं।
• इसके अलावा, PCI DSS 4.0 दस्तावेज़ीकरण स्पष्ट रूप से FIDO-आधारित प्रमाणीकरण को MFA लागू करने के लिए एक पसंदीदा, यद्यपि अनिवार्य नहीं, विधि के रूप में संदर्भित करता है, जो मानक के उद्देश्यों के साथ इसके संरेखण को रेखांकित करता है।

यह स्थिति संगठनों को रणनीतिक रूप से Passkeys को तैनात करने की अनुमति देती है। आंतरिक रूप से CDE तक पहुँचने वाले गैर-प्रशासनिक उपयोगकर्ताओं के व्यापक आधार के लिए, एक सहज पासकी लॉगिन अनुपालन आवश्यकताओं को पूरा कर सकता है। प्रशासकों और दूरस्थ उपयोगकर्ताओं के लिए, Passkeys एक MFA समाधान के लिए एक मजबूत, फ़िशिंग-प्रतिरोधी नींव प्रदान करते हैं।

जबकि Passkeys एक महत्वपूर्ण सुरक्षा अपग्रेड प्रदान करते हैं, PCI DSS क्वालिफाइड सिक्योरिटी एसेसर्स (QSAs) उनके कार्यान्वयन की जांच करेंगे, विशेष रूप से CDE तक प्रशासनिक पहुँच जैसे उच्च-जोखिम पहुँच परिदृश्यों के लिए (आवश्यकता 8.4.1), यह सुनिश्चित करने के लिए कि सच्चे मल्टी-फैक्टर ऑथेंटिकेशन सिद्धांतों को पूरा किया गया है। मुख्य विचारों में पासकी का प्रकार, प्रमाणीकरण कारकों की स्वतंत्रता, और अटेस्टेशन का उपयोग शामिल है।

जैसा कि हम पहले ही चर्चा कर चुके हैं, Passkeys दो मुख्य रूपों में आते हैं:

• सिंक किए गए Passkeys: ये Apple iCloud Keychain या Google Password Manager जैसी क्लाउड सेवाओं के माध्यम से उपयोगकर्ता के विश्वसनीय उपकरणों में सिंक्रनाइज़ होते हैं। वे सुविधा प्रदान करते हैं क्योंकि एक डिवाइस पर बनाया गया पासकी दूसरे पर इस्तेमाल किया जा सकता है।
• डिवाइस-बाउंड Passkeys: ये एक विशिष्ट भौतिक ऑथेंटिकेटर से बंधे होते हैं, जैसे कि एक USB हार्डवेयर सुरक्षा कुंजी (जैसे, YubiKey) या किसी विशेष फोन का सुरक्षित हार्डवेयर। प्राइवेट की इस विशिष्ट डिवाइस को नहीं छोड़ती है।

PCI DSS यह अनिवार्य करता है कि MFA कारक स्वतंत्र होने चाहिए, जिसका अर्थ है कि एक कारक का समझौता दूसरों को समझौता नहीं करता है। एक पासकी में आमतौर पर "कुछ ऐसा जो आपके पास है" (प्राइवेट की वाला डिवाइस) और "कुछ ऐसा जो आप जानते/हैं" (कुंजी को अनलॉक करने के लिए स्थानीय डिवाइस PIN या बायोमेट्रिक) का संयोजन होता है।

सिंक किए गए Passkeys के साथ, जबकि कई हमलों के खिलाफ अत्यधिक सुरक्षित हैं, कुछ QSAs प्रशासनिक पहुँच (आवश्यकता 8.4.1) के लिए "कब्जे" कारक की पूर्ण स्वतंत्रता के संबंध में सवाल उठा सकते हैं। चिंता यह है कि यदि उपयोगकर्ता का क्लाउड खाता (जैसे, Apple ID, Google खाता) जो Passkeys को सिंक करता है, से समझौता हो जाता है, तो प्राइवेट की को संभावित रूप से एक हमलावर-नियंत्रित डिवाइस पर क्लोन किया जा सकता है। यह कुछ मूल्यांकनकर्ताओं को एक सिंक किए गए पासकी को, उच्च-जोखिम संदर्भों में, दो पूरी तरह से स्वतंत्र कारकों की कड़ी व्याख्या को पूरा नहीं करने के रूप में देखने के लिए प्रेरित कर सकता है यदि सिंक तंत्र स्वयं अपने मजबूत MFA के साथ मजबूती से सुरक्षित नहीं है। NIST दिशानिर्देश, उदाहरण के लिए, सिंक किए गए Passkeys को AAL2-अनुपालन के रूप में पहचानते हैं, जबकि डिवाइस-बाउंड Passkeys AAL3 को पूरा कर सकते हैं, जिसमें अक्सर गैर-निर्यात योग्य कुंजियाँ शामिल होती हैं।

• WebAuthn ऑथेंटिकेटर फ्लैग्स को समझना: एक WebAuthn समारोह (जो Passkeys को रेखांकित करता है) के दौरान, ऑथेंटिकेटर कुछ फ्लैग रिपोर्ट करते हैं। दो महत्वपूर्ण हैं:
  • uv=1 (उपयोगकर्ता सत्यापित): यह फ्लैग इंगित करता है कि उपयोगकर्ता ने स्थानीय रूप से ऑथेंटिकेटर के लिए अपनी उपस्थिति को सफलतापूर्वक सत्यापित किया है, आमतौर पर एक डिवाइस PIN या बायोमेट्रिक का उपयोग करके। यह सत्यापन प्रमाणीकरण कारकों में से एक के रूप में कार्य करता है - "कुछ ऐसा जो आप जानते हैं" (PIN) या "कुछ ऐसा जो आप हैं" (बायोमेट्रिक)।
  • up=1 (उपयोगकर्ता उपस्थित): यह फ्लैग पुष्टि करता है कि उपयोगकर्ता समारोह के दौरान उपस्थित था और ऑथेंटिकेटर के साथ बातचीत की (जैसे, एक सुरक्षा कुंजी को छूकर)। जबकि उपयोगकर्ता के इरादे को साबित करने और कुछ दूरस्थ हमलों को रोकने के लिए महत्वपूर्ण है, उपयोगकर्ता उपस्थिति को आम तौर पर MFA की मल्टी-फैक्टर आवश्यकता को पूरा करने के लिए एक अलग, स्वतंत्र प्रमाणीकरण कारक नहीं माना जाता है। यह एक महत्वपूर्ण सुरक्षा सुविधा है लेकिन आमतौर पर अपने आप में दूसरे कारक के रूप में नहीं गिना जाता है।
• डिवाइस-बाउंड Passkeys और हार्डवेयर सुरक्षा कुंजियों की भूमिका: प्रशासनिक पहुँच (आवश्यकता 8.4.1) और अन्य उच्च-आश्वासन परिदृश्यों के लिए, हार्डवेयर सुरक्षा कुंजियों पर संग्रहीत डिवाइस-बाउंड Passkeys कारक स्वतंत्रता के लिए एक मजबूत तर्क प्रदान करते हैं। चूंकि प्राइवेट की को हार्डवेयर टोकन को कभी नहीं छोड़ने के लिए डिज़ाइन किया गया है, "कुछ ऐसा जो आपके पास है" कारक सॉफ्टवेयर-आधारित हमलों या क्लाउड खाते के समझौते के माध्यम से क्लोनिंग के खिलाफ अधिक मजबूती से संरक्षित है। यह उन्हें प्रशासनिक MFA के लिए कड़ी QSA अपेक्षाओं को पूरा करने के इच्छुक कई संगठनों के लिए एक पसंदीदा विकल्प बनाता है।

अटेस्टेशन WebAuthn में एक सुविधा है जहाँ ऑथेंटिकेटर पासकी पंजीकरण प्रक्रिया के दौरान रिलाइंग पार्टी (आपके FIDO सर्वर) को अपने बारे में सत्यापन योग्य जानकारी (जैसे, इसका मेक, मॉडल, प्रमाणन स्थिति, क्या यह हार्डवेयर-समर्थित है) प्रदान करता है।

• PCI DSS के लिए यह क्यों मायने रखता है: अटेस्टेशन QSAs को महत्वपूर्ण सबूत प्रदान कर सकता है कि उपयोग किए जा रहे ऑथेंटिकेटर संगठन की सुरक्षा नीतियों को पूरा करते हैं और वास्तव में वे हैं जो वे होने का दावा करते हैं (जैसे, एक प्रमाणित हार्डवेयर सुरक्षा कुंजी)। यह प्रमाणीकरण कारकों की ताकत और स्वतंत्रता का प्रदर्शन करते समय विशेष रूप से महत्वपूर्ण हो सकता है।
• सिफारिश: प्रशासनिक CDE पहुँच जैसी उच्च-सुरक्षा पहुँच के लिए, हार्डवेयर सुरक्षा कुंजियों पर Passkeys का उपयोग करना जो मजबूत अटेस्टेशन का समर्थन करते हैं, अत्यधिक अनुशंसित है। यह संगठन को स्वीकार्य ऑथेंटिकेटर प्रकारों के बारे में नीतियां लागू करने और अनुपालन का मजबूत प्रमाण प्रदान करने की अनुमति देता है।

व्यवहार में, आवश्यकता 8.4.1 के लिए ऑडिट घर्षण से बचने के लिए, कई उद्यम हार्डवेयर सुरक्षा कुंजियों पर डिवाइस-बाउंड Passkeys जारी करने का विकल्प चुनते हैं जो कुंजी सुरक्षा और संभावित रूप से अटेस्टेशन का मजबूत आश्वासन प्रदान करते हैं।

यह स्पष्ट रूप से दर्शाने के लिए कि Passkeys कैसे अंतर को पाटते हैं और आवश्यकता 8 में विस्तृत नियंत्रणों को पूरा करते हैं, निम्न तालिका विशिष्ट पासकी सुविधाओं और विशेषताओं को प्रासंगिक उप-खंडों से मैप करती है, जो विभिन्न परिदृश्यों के लिए उनकी उपयुक्तता को दर्शाती है।

यह मैपिंग दर्शाती है कि Passkeys केवल एक सैद्धांतिक फिट नहीं हैं, बल्कि PCI DSS 4.0 की उन्नत प्रमाणीकरण मांगों को पूरा करने के लिए एक व्यावहारिक और मजबूत समाधान हैं।

पेमेंट सुरक्षा का परिदृश्य जटिल और विकसित हो रहा है। PCI DSS 4.0 इस वास्तविकता को दर्शाता है, सुरक्षा नियंत्रणों के लिए एक उच्च मानक स्थापित करता है, विशेष रूप से प्रमाणीकरण के क्षेत्र में। जैसे-जैसे संगठन इन नई, अधिक कड़ी मांगों को पूरा करने का प्रयास करते हैं, Passkeys—जो FIDO/WebAuthn मानकों पर बने हैं—न केवल एक अनुपालन समाधान के रूप में उभरते हैं, बल्कि एक परिवर्तनकारी तकनीक के रूप में भी उभरते हैं जो सुरक्षित पहुँच को फिर से परिभाषित करने के लिए तैयार है।

इस पूरे विश्लेषण के दौरान, दो केंद्रीय प्रश्नों ने हमारी खोज का मार्गदर्शन किया है:

1. चूंकि PCI DSS 4.0 प्रमाणीकरण के लिए मानक बढ़ा रहा है, संगठन उपयोगकर्ताओं या सुरक्षा टीमों पर अतिरिक्त बोझ डाले बिना इन कड़ी नई आवश्यकताओं को प्रभावी ढंग से कैसे पूरा कर सकते हैं? सबूत दृढ़ता से सुझाव देते हैं कि संगठन Passkeys जैसे फ़िशिंग-प्रतिरोधी मल्टी-फैक्टर ऑथेंटिकेशन (MFA) समाधानों को रणनीतिक रूप से अपनाकर PCI DSS 4.0 की प्रमाणीकरण आवश्यकताओं को प्रभावी ढंग से पूरा कर सकते हैं। ये प्रौद्योगिकियाँ स्वाभाविक रूप से मजबूत, क्रिप्टोग्राफ़िक रूप से सत्यापित सुरक्षा को काफी बेहतर, अक्सर तेज, उपयोगकर्ता अनुभवों के साथ संतुलित करती हैं। इसके अलावा, PCI DSS 4.0 की "कस्टमाइज्ड कार्यान्वयन" की अनुमति संगठनों को ऐसे उन्नत समाधानों को उनके विशिष्ट वातावरण और जोखिम प्रोफाइल के अनुरूप बनाने का अधिकार देती है, जो एक-आकार-सभी-के-लिए दृष्टिकोण से आगे बढ़ते हैं। PCI SSC का अपना मार्गदर्शन इसे और सुगम बनाता है, जिससे उपयोगकर्ताओं के एक बड़े वर्ग के लिए सुव्यवस्थित अनुपालन की अनुमति मिलती है, जबकि उच्च-जोखिम वाले प्रशासनिक और दूरस्थ पहुँच के लिए अधिक स्तरित दृष्टिकोण आरक्षित होते हैं।
2. क्या Passkeys जैसी उभरती हुई प्रौद्योगिकियाँ न केवल PCI DSS 4.0 के मजबूत प्रमाणीकरण नियंत्रणों को पूरा कर सकती हैं, बल्कि केवल अनुपालन से परे ठोस लाभ भी प्रदान कर सकती हैं, जैसे कि बढ़ी हुई सुरक्षा और बेहतर परिचालन दक्षता? इसका उत्तर एक स्पष्ट हाँ है। Passkeys PCI DSS 4.0 आवश्यकता 8 के भीतर मुख्य प्रमाणीकरण नियंत्रणों को पूरा करने में स्पष्ट रूप से सक्षम हैं, जिसमें इसके MFA, फ़िशिंग-प्रतिरोध, और रीप्ले-प्रतिरोध मानदंड शामिल हैं। हालाँकि, उनका मूल्य केवल अनुपालन से परे है। Passkeys का अंतर्निहित डिज़ाइन—साझा रहस्यों को समाप्त करना और प्रमाणीकरण को विशिष्ट ओरिजिन से जोड़ना—सफल फ़िशिंग हमलों और अकाउंट टेकओवर के जोखिम को काफी कम कर देता है, जिससे धोखाधड़ी से संबंधित नुकसान में ठोस कमी आती है। परिचालन रूप से, पासवर्ड से दूर जाने का मतलब है कम पासवर्ड-संबंधित हेल्पडेस्क टिकट, जिससे लागत बचती है और आईटी संसाधन मुक्त होते हैं। उपयोगकर्ताओं को एक सरल, तेज और कम निराशाजनक लॉगिन अनुभव से लाभ होता है, जो उत्पादकता और ग्राहक संतुष्टि में सुधार कर सकता है। इसके अलावा, जहाँ पासवर्ड को विशिष्ट पहुँच पथों के लिए पूरी तरह से Passkeys से बदल दिया जाता है, पासवर्ड-विशिष्ट नियंत्रणों के लिए ऑडिट का बोझ समाप्त हो जाता है, जिससे उन क्षेत्रों में अनुपालन प्रयासों को संभावित रूप से सुव्यवस्थित किया जा सकता है।

एक वास्तव में सुरक्षित पेमेंट इकोसिस्टम की यात्रा निरंतर है। PCI DSS 4.0 नए मील के पत्थर स्थापित करता है, और पासकी प्रमाणीकरण उन्हें तक पहुँचने के लिए एक शक्तिशाली वाहन प्रदान करता है। जो संगठन कार्डधारक डेटा को संसाधित, संग्रहीत या प्रसारित करते हैं, उन्हें Passkeys को अपनाने के लिए मूल्यांकन करने और योजना बनाने के लिए दृढ़ता से प्रोत्साहित किया जाता है। यह केवल एक मानक के नवीनतम संस्करण का पालन करने के बारे में नहीं है; यह प्रमाणीकरण के लिए एक अधिक सुरक्षित, कुशल और उपयोगकर्ता-केंद्रित दृष्टिकोण को अपनाने के बारे में है जो डिजिटल पहचान के भविष्य के साथ संरेखित होता है। रणनीतिक रूप से Passkeys को लागू करके, व्यवसाय विकसित हो रहे खतरों के खिलाफ अपनी सुरक्षा को मजबूत कर सकते हैं, मूल्यवान पेमेंट डेटा की रक्षा कर सकते हैं, और एक तेजी से डिजिटल दुनिया में अपने ग्राहकों के साथ अधिक विश्वास बना सकते हैं।