用于FedRAMP管理要求的PIV/CAC

Question

我公司正在申请P的FedRAMP认证.这是强制性的要求，我不太理解。

“系统能否通过代理公共访问卡(CAC)或个人身份验证(PIV)凭据完全支持用户身份验证？”

我们生产软件，特别是移动应用程序。对于最终用户，我们的应用程序永远不需要CAC或PIV。此外，我们为登录云平台(AWS)设置了两个因素，但我不知道我们如何/为什么要使用PIV或CACs。

有人在这之前遇到过这样的事，怎么处理？这是强制性的，所以假设我必须以某种方式处理它。谢谢!

Answer 1

“系统能否通过代理公共访问卡(CAC)或个人身份验证(PIV)凭据完全支持用户身份验证？”我们生产软件，特别是移动应用程序。对于最终用户，我们的应用程序永远不需要CAC或PIV。此外，我们为登录云平台(AWS)设置了两个因素，但我不知道我们如何/为什么要使用PIV或CACs。

“为什么”问题的答案是:你会这样做，因为它是强制性的。;)

至于“如何”的问题:如果您的“系统”已经支持某些形式的双因素身份验证，原则上您可能没有太多的空间来支持PIV/CAC。事实上，任何旧的台式电脑都可以使用PIV/CAC读卡器，对吗？如果我没记错的话，你也可以在手机上安装CAC卡读卡器.