I requisiti della password di PCI DSS, tra le altre cose, indicano che è necessario applicare una politica password molto specifica:
Devi obbligare gli utenti a cambiare le loro password ogni 90 giorni, le loro password non possono essere più brevi di 7 caratteri, ecc.
Per quanto ne so, grandi aziende come Google, Facebook, PayPal e molti altri non applicano questa politica. Ad esempio, nessuno di essi blocca il tuo account dopo un periodo di non attività come richiede PCI DSS e servizi come Facebook consentono alla password di essere lunga 6 caratteri (che è inferiore al minimo di 7 caratteri specificato nei requisiti PCI DSS).
Queste società sono fornitori di servizi PCI DSS livello 1 e sono elencate nell'indice PCI DSS Service Provider.
In che modo queste aziende possono essere conformi allo standard PCI DSS anche se non applicano la politica di password PCI DSS?
Su chi si applica la politica? Si applica al semplice utente / cliente o si tratta di personale / moderatori?