Rublon

Secure Remote Access

By

PIV (Personal Identity Verification) to federalny standard poświadczeń tożsamości w USA (FIPS 201-3), który służy do weryfikowania, wydawania i zarządzania bezpiecznymi poświadczeniami tożsamości wykorzystywanymi do fizycznego i logicznego dostępu do systemów rządowych.

Sprawdź to odporne na phishing MFA

Brzmi ciekawie? Wypróbuj nasze odporne na phishing uwierzytelnianie wieloskładnikowe przez 30 dni za darmo i zobacz, jakie to proste.

Wypróbuj Nie wymaga karty

Dlaczego PIV ma znaczenie

  • Karty PIV wspierają silne uwierzytelnianie, łącząc kryptografię, biometrię i kody PIN.
  • Łączą dostęp fizyczny (drzwi) oraz dostęp logiczny (systemy komputerowe) w ramach jednego frameworku tożsamości.
  • Wprowadzenie poświadczeń pochodnych (ang. derived credentials) pozwala PIV rozszerzać zabezpieczenia na scenariusze dostępu mobilnego i zdalnego.

Czego się dowiesz

  • Jak działa PIV: weryfikacja tożsamości → wydanie → uwierzytelnianie → unieważnienie
  • Budowa karty PIV, interfejsy kryptograficzne i poświadczenia pochodne
  • Zastosowania: przedsiębiorstwa, dostęp zdalny, tożsamość cyfrowa, weryfikacja tożsamości
  • Korzyści, ryzyka, kontrole bezpieczeństwa i aspekty nadzoru
  • Porównania: PIV vs CAC, alternatywy, uprawnienia, koszt i praktyczne FAQ
Spis treści
  1. Dlaczego PIV ma znaczenie
  2. Czego się dowiesz
  3. Najważniejsze wnioski w skrócie
  4. Podstawowe definicje i architektura Personal Identity Verification
  5. Cykl życia poświadczenia PIV i działanie
  6. Zastosowania Personal Identity Verification
  7. Korzyści, ryzyka i kwestie bezpieczeństwa PIV
  8. PIV vs. inne poświadczenia i alternatywy
  9. Wdrożenie i adopcja Personal Identity Verification
  10. Najczęściej zadawane pytania o PIV

Najważniejsze wnioski w skrócie

WniosekDlaczego to ważne
PIV to coś więcej niż karta inteligentnaWymusza federalny standard zaufania do tożsamości
Kryptografia i biometria są kluczoweUmożliwiają silne bezpieczeństwo wieloskładnikowe
Poświadczenia pochodne rozszerzają zastosowanie PIVWykracza poza karty inteligentne na urządzenia mobilne i dostęp zdalny
Nadzór i audyty są krytycznePonieważ PIV dotyczy tożsamości o wysokim zaufaniu i dostępu o dużej wrażliwości

Podstawowe definicje i architektura Personal Identity Verification

Czym jest karta PIV?

Karta PIV (Personal Identity Verification) to standard poświadczenia w formie karty inteligentnej, używany przez pracowników federalnych oraz wykonawców realizujących kontrakty dla rządu USA. Przechowuje klucze kryptograficzne, certyfikaty, dane biometryczne oraz zdjęcie i służy do bezpiecznego dostępu fizycznego i logicznego zgodnie ze standardem FIPS 201. Karta PIV jest zgodna z interfejsami i formatami danych określonymi w publikacji NIST SP 800-73, zapewniając interoperacyjność między agencjami.

Karta PIV wspiera interfejsy stykowe i bezstykowe, zgodnie ze standardami FIPS 201.

Na karcie PIV przechowywane są:

  • Certyfikat PIV Authentication i klucz prywatny do bezpiecznej weryfikacji tożsamości
  • Poświadczenia do podpisu cyfrowego i szyfrowania do ochrony wrażliwej komunikacji
  • Szablony biometryczne, takie jak odcisk palca i dane twarzy, do weryfikacji na karcie (ang. on-card matching)
  • Unikalny identyfikator posiadacza karty (CHUID) i dodatkowe ustrukturyzowane metadane dla interoperacyjności systemów

Czym jest Personal Identity Verification (PIV)?

Personal Identity Verification odnosi się do systemu weryfikowania i bezpiecznego wydawania interoperacyjnych poświadczeń osobom (pracownikom, wykonawcom), aby mogły uzyskiwać dostęp do obiektów rządowych, systemów i aplikacji.

Standard jest zdefiniowany w standardzie FIPS 201-3, który aktualizuje pierwotny FIPS 201 i opisuje weryfikację tożsamości, proces poświadczania, uwierzytelnianie oraz użycie karty.

Schemat przepływu architektury systemu PIV pokazujący pięć kluczowych komponentów: 1. Rejestracja i weryfikacja, 2. Wydawanie i zarządzanie, 3. Karta PIV z certyfikatami, 4. Usługi weryfikacyjne takie jak PKI i OCSP oraz 5. Aplikacje końcowe, takie jak dostęp logiczny, dostęp fizyczny i podpisy cyfrowe.
Schemat ilustrujący podstawową architekturę i przepływ pracy systemu Personal Identity Verification (PIV) — od rejestracji tożsamości po bezpieczny dostęp do zastosowań logicznych, fizycznych i cyfrowych.

Kluczowe podsystemy architektoniczne

System PIV składa się z trzech podstawowych podsystemów:

PodsystemKluczowe komponentyRola / funkcja
Podsystem front-endKarta PIV, czytniki, urządzenia biometryczne, moduły wprowadzania PINInterfejs między użytkownikiem a poświadczeniem; odczyt karty, PIN, dopasowanie biometrii
Podsystem wydawania i zarządzaniaSystemy weryfikacji tożsamości, zarządzanie poświadczeniami, generowanie kluczy, usługi certyfikatowe, serwery unieważnieńObsługuje rejestrację, wydawanie, odnowienia, unieważnianie oraz zarządzanie poświadczeniami pochodnymi
Podsystem relying (odbiorców zaufania)Systemy kontroli dostępu fizycznego/logicznego, logika autoryzacji, chronione zasobyWykorzystuje poświadczenia PIV do przyznania lub odmowy dostępu

Jakie dokumenty i dane wejściowe są używane do weryfikacji tożsamości w PIV?

Weryfikacja tożsamości (identity proofing) w PIV wykorzystuje zatwierdzone przez rząd dokumenty oraz etapy weryfikacji. Typowe dokumenty obejmują paszporty, prawa jazdy lub certyfikowane dokumenty tożsamości. Standard PIV wymaga wieloskładnikowych kontroli, aby ograniczać ryzyko oszustwa.

Jakie metody weryfikacji tożsamości są stosowane w PIV?

PIV wykorzystuje trzy czynniki uwierzytelniania:

  1. Coś, co masz — karta PIV (z kluczami/certyfikatami)
  2. Coś, co wiesz — PIN aktywujący kartę
  3. Coś, czym jesteś — dane biometryczne (odcisk palca, wizerunek twarzy) przechowywane i dopasowywane na karcie

Czynniki te wspierają uwierzytelnianie wieloskładnikowe w środowiskach o wysokich wymaganiach bezpieczeństwa.

Czym jest uwierzytelnianie PIV?

Uwierzytelnianie PIV (Personal Identity Verification) to bezpieczna metoda logowania stosowana głównie przez pracowników federalnych USA i wykonawców. Opiera się na wydanej przez rząd karcie inteligentnej zawierającej poświadczenia cyfrowe i dane biometryczne. Podczas logowania użytkownicy uwierzytelniają się, wykorzystując jeden lub więcej czynników zapisanych na karcie, takich jak certyfikat, PIN lub odcisk palca, aby potwierdzić swoją tożsamość.

Typowe metody uwierzytelniania PIV obejmują:

Zaufane standardy PIV i zasoby referencyjne


  • NIST FIPS 201-3 – standard Personal Identity Verification csrc.nist.gov
  • NIST SP 800-73-5 – interfejsy dla Personal Identity Verification
    • csrc.nist.gov
  • Lista zatwierdzonych produktów FIPS 201 – karty PIV i urządzenia PACS idmanagement.gov
  • NIST SP 800-116 Rev.1 – wykorzystanie poświadczeń PIV w dostępie fizycznym csrc.nist.gov
  • Roadmap: FIPS 201 PIV – nowe wytyczne i poświadczenia pochodne csrc.nist.gov
  • Przewodnik wdrożeniowy DoD CAC Endpoint – referencja wdrożeniowa i konfiguracyjna cac.mil

Cykl życia poświadczenia PIV i działanie

Jak działa PIV: od wydania do użycia

W całym cyklu życia poświadczenie może przejść odnowienie, zawieszenie, unieważnienie lub wymianę, w zależności od potrzeb. Agencje utrzymują rejestr, aby aktualizacje statusu były propagowane w czasie zbliżonym do rzeczywistego.

Wnioskodawca rozpoczyna proces wydania, przechodząc weryfikację tożsamości i przedstawiając ważne dokumenty źródłowe. Agencje federalne realizują wymagania FIPS 201-3 dotyczące proofingu, rejestracji i generowania poświadczeń.

Po potwierdzeniu tożsamości system PIV generuje klucze kryptograficzne i wystawia certyfikaty, realizuje personalizację (szablony biometryczne, zdjęcie) oraz wydanie karty.

Po wydaniu poświadczenie jest aktywowane (ustawienie PIN, rejestracja biometrii) i gotowe do codziennego użycia (uwierzytelnianie, dostęp).

Symboliczne zdjęcie przedstawiające biznesmena trzymającego świecącą kartę PIV, symbolizujące cyfrową weryfikację tożsamości i bezpieczeństwo w systemie Personal Identity Verification.

Jaki jest przykład weryfikacji tożsamości?

W procesie wydawania PIV przykładowy scenariusz może wyglądać tak:

  • Okazanie ważnego paszportu (dokument ze zdjęciem) oraz aktu urodzenia (dokument dodatkowy)
  • Przejście weryfikacji osobistej przeprowadzonej przez urzędnika ds. poświadczeń
  • Pobranie odcisków palców oraz wykonanie fotografii
  • Otrzymanie karty PIV z osadzonymi poświadczeniami kryptograficznymi i biometrycznymi

To konkretny, realny przykład procesu weryfikacji tożsamości w systemie PIV.

Co dzieje się podczas unieważnienia, zawieszenia i wymiany?

  • Jeśli poświadczenie PIV zostanie zgubione, skradzione lub wykorzystane w niewłaściwy sposób, może zostać zawieszone lub unieważnione, aby nie mogło już zostać użyte do uwierzytelnienia.
  • Gdy konieczne jest ponowne wydanie, organ wydający może ponownie pobrać dane biometryczne, zweryfikować tożsamość i wydać nowe poświadczenie.
  • Muszą istnieć właściwe procedury aktualizacji rejestru kart oraz powiadamiania systemów relying o zmianie statusu w czasie zbliżonym do rzeczywistego.

Jakie metody weryfikacji tożsamości są stosowane w procesie rejestracji PIV?

  • Weryfikacja tożsamości zwykle opiera się na przedstawieniu dwóch ważnych dokumentów tożsamości, z których co najmniej jeden musi być dokumentem państwowym ze zdjęciem.
  • Wnioskodawcy zazwyczaj muszą stawić się osobiście w celu walidacji i pobrania danych biometrycznych. FIPS 201-3 oraz NIST SP 800-63A wymagają osobistej weryfikacji tożsamości oraz pobrania biometrii dla wysokich poziomów zapewnienia (IAL2/IAL3), co ma zastosowanie do PIV.
  • Osobista obecność jest standardem, zwłaszcza dla pracowników federalnych i wykonawców otrzymujących karty PIV. Jednak nadzorowana zdalna weryfikacja tożsamości jest dopuszczalna w określonych warunkach, przy użyciu połączenia wideo na żywo i zatwierdzonych procedur. Ponadto część agencji pilotażowo testuje zdalną rejestrację w kontrolowanych środowiskach, choć jest to rzadkie i ściśle regulowane.
  • FIPS 201 wymusza rozdzielenie obowiązków, tak aby żadna pojedyncza osoba nie mogła nielegalnie doprowadzić do wydania poświadczenia.

Jak zarządza się certyfikatami i kluczami na karcie?

  • Po wydaniu klucze kryptograficzne i certyfikaty są bezpiecznie przechowywane na karcie PIV.
  • Karta może (opcjonalnie) wspierać tryby komunikacji bezstykowej i stykowej oraz być zgodna ze standardami interfejsów kart inteligentnych SP 800-73.
  • Gdy poświadczenie wygasa, odnowienie może nastąpić automatycznie lub po ponownej walidacji, a nowe certyfikaty są ponownie wystawiane.

Zastosowania Personal Identity Verification

1. Weryfikacja tożsamości dla dostępu zdalnego i środowisk hybrydowych

  • PIV (lub pochodne poświadczenia PIV) wspiera weryfikację tożsamości dla dostępu zdalnego, umożliwiając pracownikom i wykonawcom bezpieczne uwierzytelnianie poza biurem lub podczas pracy z domu.
  • Poświadczenia pochodne (wydawane zgodnie z wytycznymi FIPS 201-3 i NIST SP 800-157) umożliwiają wirtualne poświadczenie PIV na urządzeniu mobilnym lub laptopie, gdy fizyczna karta i czytnik nie są dostępne.
  • Agencje i przedsiębiorstwa często integrują uwierzytelnianie oparte o PIV z architekturami zero trust i federacją tożsamości, aby uzyskać dostęp do systemów zdalnych.
  • Przykład użycia: pracownicy uwierzytelniają się do VPN, usług chmurowych lub aplikacji wewnętrznych, używając PIV + biometrii / PIN zamiast haseł.

2. Dostęp logiczny i systemy IT

  • Poświadczenia PIV zapewniają dostęp do chronionych systemów informatycznych, aplikacji wewnętrznych i sieci.
  • Ten sam certyfikat PIV przechowywany na karcie może być używany do logowania kartą inteligentną, podpisów cyfrowych, szyfrowania i uwierzytelniania sieciowego.
  • Wiele organizacji konfiguruje PIV jako metodę uwierzytelniania wieloskładnikowego (MFA) dla systemów wrażliwych, zwłaszcza dla użytkowników uprzywilejowanych. NIST rekomenduje, aby agencje federalne przenosiły konta uprzywilejowane na uwierzytelnianie oparte o PIV zamiast modelu wyłącznie hasłowego.

3. Dostęp fizyczny i wejście do obiektów

  • Karty PIV służą jako poświadczenia dostępu fizycznego do obiektów chronionych, drzwi, bram i stref kontrolowanych.
  • Dokument NIST SP 800-116 zawiera wytyczne dotyczące wykorzystania poświadczeń PIV w systemach kontroli dostępu do obiektów (PACS) i zaleca dobór mechanizmów uwierzytelniania PIV do poziomu ryzyka dla bezpieczeństwa fizycznego.
  • Wymóg interoperacyjności oznacza, że karta PIV wydana przez jedną agencję federalną powinna działać w systemach bezpieczeństwa budynków innej agencji.

4. Tożsamość cyfrowa i zarządzanie poświadczeniami

  • Wraz z przyjmowaniem strategii zarządzania tożsamością cyfrową PIV staje się kluczowym elementem. Poświadczenia PIV wiążą tożsamość, uwierzytelnianie i autoryzację w jednym poświadczeniu.
  • PIV wspiera bezpieczne logowanie z biometrią, szyfrowanie, podpisy cyfrowe i niezaprzeczalność (non-repudiation).
  • PIV przecina się z procedurą KYC (Know Your Customer) w środowiskach o wysokim poziomie zapewnienia tożsamości, zwłaszcza w sektorach regulowanych, które wymagają silnej weryfikacji tożsamości.

5. Zastosowania specjalistyczne, międzyagencyjne i federacyjne

  • PIV-I (Personal Identity Verification – Interoperable) to wariant zaprojektowany do interoperacyjności z federalną infrastrukturą, ale wydawany przez organizacje niefederalne przy mniej rygorystycznej weryfikacji personelu.
  • W środowiskach federacyjnych konto tożsamości PIV może przedstawiać poświadczenia lub tokeny tożsamości, aby umożliwiać bezpieczny dostęp między agencjami i systemami. Dokument NIST SP 800-217 omawia wytyczne dotyczące federacji PIV i szerokich atrybucji tożsamości cyfrowej.
  • Przykład użycia: wykonawca używa PIV z agencji macierzystej, aby uzyskać dostęp do zasobów agencji partnerskiej lub systemów współdzielonych na podstawie umów zaufania.

Korzyści, ryzyka i kwestie bezpieczeństwa PIV

Dlaczego warto używać karty PIV? Najważniejsze korzyści

  • Odporne na phishing uwierzytelnianie wieloskładnikowe – PIV łączy poświadczenia kryptograficzne, biometrię i kody PIN, aby weryfikować tożsamość z wysokim poziomem zapewnienia. Z uwagi na to, że uwierzytelnianie opiera się na kluczach chronionych sprzętowo oraz dopasowaniu na karcie, to jest odporne na typowe ataki phishingowe, ataki replay oraz ataki oparte na kradzieży poświadczeń.
  • Jedno poświadczenie w wielu domenach – jedno poświadczenie PIV może zapewniać zarówno dostęp fizyczny, jak i logiczny w środowiskach federalnych.
  • Interoperacyjność i standaryzacja – regulowane przez FIPS 201 oraz standardy NIST SP, PIV zapewnia spójność między agencjami.
  • Wsparcie dla poświadczeń pochodnych lub wirtualnych – rozszerza zastosowanie PIV na urządzenia mobilne i dostęp zdalny, zmniejszając zależność od fizycznych czytników kart.

Szukasz dostawcy MFA odpornego na phishing?

Chroń swoją infrastrukturę IT przed hakerami dzięki odpornemu na phishing uwierzytelnianiu wieloskładnikowemu.

Wypróbuj (Nie wymaga karty)

Jakie są kluczowe ryzyka i zagrożenia bezpieczeństwa PIV?

1. Utrata, kradzież lub niewłaściwe użycie karty

Skradziona lub zgubiona karta PIV może zostać użyta do nieautoryzowanego dostępu, jeśli nie są egzekwowane dodatkowe zabezpieczenia (PIN, biometria, weryfikacja certyfikatów).

2. Kompromitacja kluczy i słabości kryptograficzne

Jeśli klucze prywatne lub infrastruktura certyfikatowa zostaną skompromitowane, napastnicy mogą wystawiać lub używać ważnych poświadczeń w nieuprawniony sposób. Wszystkie aspekty kryptograficzne muszą być odpowiednio wzmocnione i testowane.

3. Fałszowanie biometrii / wyciek szablonów

Ze względu na to, że PIV zawiera szablony biometryczne, napastnicy mogą próbować fałszować odciski palców lub obraz twarzy albo wydobyć dane szablonów, jeśli karta lub system okaże się podatny.

4. Unieważnianie i utrata zaufania

Jeśli mechanizmy unieważniania zawodzą (np. opóźnienia CRL/OCSP, problemy z łącznością), unieważnione poświadczenia mogą być nadal używane, narażając systemy na nieautoryzowany dostęp.

5. Błędy implementacyjne i konfiguracyjne

Błędna konfiguracja, słaba polityka PIN, niebezpieczne środowiska wydawania kart lub słaba integracja z systemami relying mogą wprowadzać podatności.

Działania ograniczające ryzyko i kontrole bezpieczeństwa Personal Identity Verification

  • PIN karty i limity prób – egzekwuj mocną politykę PIN, blokady i ograniczanie liczby dozwolonych prób.
  • Moduły bezpieczeństwa sprzętowego (HSM) – chroń klucze używane do wydawania, podpisywania i operacji urzędu certyfikacji.
  • Bezpieczne środowiska wydawania – pobranie biometrii, weryfikacja tożsamości i personalizacja kart muszą odbywać się zgodnie ze ścisłymi kontrolami procesu.
  • Transparentność certyfikatów i audyt – logowanie i transparentność wydawania poświadczeń pomagają wykrywać nieprawidłowe wydania.
  • Ograniczanie ryzyka w dostępie fizycznym – dokument NIST SP 800-116 zawiera wytyczne dotyczące dopasowania siły poświadczeń PIV do poziomów bezpieczeństwa obiektu.
  • Monitorowanie logów systemowych i nieudanych prób dostępu – agencje takie jak GSA były krytykowane za niewykorzystywanie logów dostępu do wykrywania wzorców ryzyka.

Odpowiedzi na częste obawy dotyczące PIV

Czy identyfikator PIV jest bezpieczny?

Tak, jeśli jest poprawnie wdrożony z warstwowymi kontrolami. Jednak bezpieczeństwo zależy w dużej mierze od bezpieczeństwa operacyjnego, odporności kryptograficznej oraz infrastruktury unieważniania.

Jak bezpieczne są karty PIV?

Zwykle są uznawane za jeden z wysokich standardów poświadczeń tożsamości, ale ich bezpieczeństwo zależy od najsłabszego ogniwa w systemie (np. pobrania biometrii, czytnika kart lub łańcucha zaufania certyfikatów).

Czy trzeba zwrócić kartę PIV?

Tak. Gdy ktoś zakończy zatrudnienie federalne lub wygaśnie mu kontrakt, karta PIV musi zostać zwrócona albo unieważniona zgodnie z określonymi procedurami.

PIV vs. inne poświadczenia i alternatywy

Jaka jest różnica między PIV a CAC?

  • Common Access Card (CAC) to poświadczenie w formie karty inteligentnej Departamentu Obrony USA (DoD), natomiast PIV to standard dla cywilnych agencji federalnych zgodny ze standardem FIPS 201-3.
  • Innymi słowy: CAC dotyczy wojska (DoD), a PIV jest standardem dla cywilnych agencji federalnych.
  • CAC i PIV mają wiele wspólnych cech technicznych (chip, certyfikaty PKI, PIN, wsparcie biometrii), ale korzystają z innych urzędów wydających i innych ekosystemów certyfikatów głównych (root).
  • W praktyce systemy federalne często akceptują zarówno PIV, jak i CAC do uwierzytelniania, zależnie od wsparcia integracyjnego.

Jakie są alternatywy dla karty PIV?

  • Systemy uwierzytelniania wieloskładnikowego bez karty (np. tokeny sprzętowe, passkeys FIDO2, klucze bezpieczeństwa FIDO2 i FIDO U2F, aplikacje uwierzytelniające)
  • Poświadczenia pochodne / wirtualne PIV (mobilne lub certyfikatowe bez fizycznej karty)
  • Inne systemy kart inteligentnych / poświadczeń (np. programy kart specyficzne dla danej agencji)
  • W kontekstach niefederalnych lub w sektorze prywatnym systemy tożsamości cyfrowej mogą opierać się na weryfikacji tożsamości + biometrii + poświadczeniach urządzenia zamiast pełnej infrastruktury PIV

Czy zamiast kart PIV mogą zostać użyte bezpłatne / otwarte / niefederalne poświadczenia?

  • Poświadczenia PIV-I (Personal Identity Verification – Interoperable) są zaprojektowane tak, aby współpracować z federalną infrastrukturą PIV, nawet jeśli wystawcą jest podmiot niefederalny. Nie są w pełni tożsame z PIV, ale mogą stanowić praktyczną alternatywę dla dostępu gości lub wykonawców.
  • Jednak PIV-I nie zapewnia pełnego poziomu weryfikacji personelu. Agencje mogą samodzielnie zdecydować, czy akceptują poświadczenia PIV-I.

Wdrożenie i adopcja Personal Identity Verification

Kto jest uprawniony do otrzymania karty PIV?

Nie każdy może automatycznie otrzymać poświadczenie PIV. Typowe kryteria uprawnień obejmują:

  • Pracowników federalnych oraz wykonawców potrzebujących dostępu do systemów lub obiektów przez co najmniej sześć miesięcy zgodnie z polityką FIPS 201 / HSPD-12.
  • Zakończenie dochodzenia w tle (background check) lub procesu weryfikacji (np. Tier 1, NACI, SAC). Na przykład VA wymaga pozytywnego rozstrzygnięcia wymaganego sprawdzenia przed wydaniem karty PIV.
  • Organ podmiotowo odpowiedzialny (HR, dział bezpieczeństwa) składa wniosek i zapewnia weryfikację tożsamości.
  • Jeśli pełne kryteria nie są spełnione, wnioskodawcy może zostać wydane poświadczenie PIV-I (interoperacyjne, ale z obniżonym poziomem weryfikacji).

Jak złożyć wniosek o kartę Personal Identity Verification (PIV)

  • Wnioskodawca współpracuje ze swoim sponsorem PIV (zwykle HR lub dział bezpieczeństwa), aby rozpocząć proces.
  • Wnioskodawca odwiedza centrum wydawania poświadczeń / biuro identyfikatorów, przedstawiając dwa ważne dokumenty tożsamości i przechodząc weryfikację tożsamości.
  • Pobierane są dane biometryczne (zdjęcie, odciski palców), a następnie wydawane są klucze i certyfikaty
  • Następnie karta jest aktywowana (ustawienie PIN, rejestracja) i przekazywana użytkownikowi.
  • Agencje zazwyczaj korzystają z systemu wydawania USAccess i wspólnych usług poświadczania.

Ile kosztuje karta PIV?

Według aktualnych stawek GSA:

  • Rejestracja i weryfikacja tożsamości: ≈ 23 USD
  • Wydruk i wydanie: ≈ 30 USD (obejmuje załadowanie certyfikatów i wydruk karty)
  • Bieżące utrzymanie: ≈ 3,95 USD na kartę miesięcznie po okresie początkowym
  • Agencje mogą też ponosić koszty związane z centrami wydawania, dzierżawą drukarek i kosztami uruchomienia.

Wymogi, standardy i czynniki polityki

  • PIV jest wymagany przez HSPD-12 i zdefiniowany w FIPS 201-3, który reguluje zarówno weryfikację tożsamości, jak i interoperacyjność poświadczeń.
  • Agencje muszą przestrzegać procedur standardów poświadczania OPM, obejmujących m.in. kwalifikację uprawnień, zawieszenie, unieważnienie oraz odwołania.
  • Nowsze wytyczne zachęcają do adopcji federacyjnej tożsamości PIV i interoperacyjności poprzez NIST SP 800-217, aby konta tożsamości PIV mogły być wykorzystywane w kontekstach federacyjnych.

Wyzwania adopcji PIV i dobre praktyki

  • Integracja z systemami legacy: wiele istniejących systemów kontroli dostępu może nie wspierać PIV; integracja często wymaga middleware, mostkowania PKI lub aktualizacji systemów.
  • Szkolenia użytkowników i onboarding: wdrożenie PIV na dużą skalę wymaga świadomości, koordynacji logistycznej i wsparcia użytkowników.
  • Zarządzanie poświadczeniami i skala: obsługa odnowień, kart zgubionych/skradzionych, unieważnień i wydawania poświadczeń pochodnych wymaga solidnej infrastruktury.
  • Koordynacja interoperacyjności: zapewnienie, że PIV wydane przez jedną agencję lub dostawcę działa w innych; zgodność z FIPS i listami zatwierdzonych produktów pomaga.
  • Alokacja kosztów: agencje muszą planować budżet na wydanie, druk, utrzymanie, działanie centrów oraz cykle wymiany.

Najczęściej zadawane pytania o PIV

Czy każdy może otrzymać kartę PIV?

Nie, ponieważ PIV podlega rygorystycznym zasadom uprawnień. Wnioskodawcy muszą być personelem federalnym lub wykonawcami spełniającymi określone kryteria dostępu. Proces wydania PIV obejmuje również postępowanie sprawdzające oraz weryfikację tożsamości.

Czy wszyscy pracownicy federalni otrzymują kartę PIV?

Nie. Uprawnienia do PIV są zwykle ograniczone do pracowników federalnych i wykonawców wymagających dostępu do obiektów lub systemów federalnych przez sześć miesięcy lub dłużej. Osoby bez kwalifikującej roli lub wymagań dostępu mogą nie otrzymać poświadczenia PIV.

Czy TSA akceptuje kartę PIV?

Tak. Karta PIV jest wymieniona na liście akceptowanych dokumentów tożsamości na punktach kontroli bezpieczeństwa na lotniskach w USA zgodnie z zasadami TSA. Jednak w praktyce niektórzy funkcjonariusze TSA lub urządzenia skanujące mogą nie zawsze rozpoznawać tę kartę, co może skutkować prośbą o przedstawienie innego dokumentu.

Czy karty PIV działają jako Real ID?

Karty PIV (poświadczenia HSPD‑12) są akceptowane przez TSA jako ważne dokumenty tożsamości i mogą stanowić alternatywę dla stanowych kart Real ID na lotniskach. Należy jednak zaznaczyć, że PIV nie jest stanowym prawem jazdy Real ID, lecz federalnie akceptowanym poświadczeniem tożsamości wykorzystywanym w wielu sytuacjach.

Jakie dokumenty można wykorzystać do weryfikacji tożsamości przy wydaniu PIV?

Na etapie weryfikacji tożsamości wnioskodawca musi przedstawić dwa oryginalne dokumenty źródłowe, z których jeden musi być państwowym dokumentem ze zdjęciem. Drugi może obejmować akt urodzenia, kartę Social Security lub podobny dokument urzędowy. Jeśli na dokumentach widnieją różne nazwiska, należy także przedstawić oficjalny dowód zmiany nazwiska (np. akt małżeństwa).