I - Correto. No PostgreSQL, a autenticação é controlada, por padrão, por um arquivo do sistema chamado pg_hba.conf. Esse arquivo contém, em cada uma de suas linhas, as informações de host, usuário, banco de dados e método de autenticação para cada um.
II - Correto. Esse arquivo, por padrão, é armazenado no diretório de dados, mas isso pode ser alterado nas configurações do servidor. Aliás, lembre-se que o PostgreSQL é um sistema de código aberto, que, portanto, pode ser livremente modificado.
III - Correto. HBA significa Host-based Authentication. O PostgreSQL realiza essa autenticação baseada em host (hospedeiro, em português), o que significa que é possível estabelecer métodos de autenticação específicos para conexões vindas de endereços de rede diferentes. Por exemplo, pode-se configurar um método de conexão reject para determinado endereço IP, o que garante que todas as conexões oriundas daquele endereço irão ser negadas.