Sia PCI DSS che NIST con digital identity guidelines hanno definito delle best practices ma che io sappia non c'e' proprio uno standard di riferimento al riguardo.