A chi si applicano i requisiti della password PCI DSS?

8

I requisiti della password di PCI DSS, tra le altre cose, indicano che è necessario applicare una politica password molto specifica:

Devi obbligare gli utenti a cambiare le loro password ogni 90 giorni, le loro password non possono essere più brevi di 7 caratteri, ecc.

Per quanto ne so, grandi aziende come Google, Facebook, PayPal e molti altri non applicano questa politica. Ad esempio, nessuno di essi blocca il tuo account dopo un periodo di non attività come richiede PCI DSS e servizi come Facebook consentono alla password di essere lunga 6 caratteri (che è inferiore al minimo di 7 caratteri specificato nei requisiti PCI DSS).

Queste società sono fornitori di servizi PCI DSS livello 1 e sono elencate nell'indice PCI DSS Service Provider.

In che modo queste aziende possono essere conformi allo standard PCI DSS anche se non applicano la politica di password PCI DSS?

Su chi si applica la politica? Si applica al semplice utente / cliente o si tratta di personale / moderatori?

    
posta Theodore 15.02.2017 - 14:09
fonte

2 risposte

11

The password requirements of PCI DSS, among everything else, state that you must enforce a very specific password policy:

You need to force the users to change their passwords every 90 days, their passwords cannot be shorter than 7 characters, etc.

...

On who does the policy apply? Does it apply on the simple user / customer or is it talking about the staff / moderators?

Per citare il DSS 3.2, testo introduttivo al Requisito 8 ("Identificazione e autenticazione dell'accesso ai componenti del sistema"):

Note: These requirements are applicable for all accounts, including
point-of-sale accounts, with administrative capabilities and all 
accounts used to view or access cardholder data or to access systems
with cardholder data. This includes accounts used by vendors and
other third parties (for example, for support or maintenance). These
requirements do not apply to accounts used by consumers (e.g., cardholders).

As far as I know, large companies such as Google, Facebook, PayPal and many more don't enforce that policy. For example, none of them freeze your account after a period of non-activity as PCI DSS requires and services such as Facebook allows your password to be 6 chars long (which is less than the 7 chars min stated in the PCI DSS requirements).

Those companies are PCI DSS Level 1 Service Providers and are listed in the PCI DSS Service Providers index.

Google e PayPal sono; Non vedo Facebook sul elenco SP Visa . Ma come sopra, non è il tuo account - account consumer - che è governato da PCI DSS. E, soprattutto con un'azienda come Google, è facile avere un account che non si avvicini mai a una carta di credito o alla funzione di elaborazione del credito. Quindi non è così sorprendente.

    
risposta data 15.02.2017 - 14:24
fonte
3

Si applica alle password degli utenti che hanno accesso alle reti in cui sono archiviati i dati delle carte, che normalmente saranno dipendenti o appaltatori dell'azienda. Non si applica alle password dei clienti, a meno che per qualche motivo tali password consentano l'accesso ai dati delle carte (escluse le prime sei e le ultime quattro cifre del numero della carta, che non devono essere protette).

    
risposta data 15.02.2017 - 14:23
fonte

Leggi altre domande sui tag