Se si memorizzano i dati della carta di pagamento per un utente e si dispone di un 'Login tramite openID' che include servizi come Google e Facebook, è consentito dalla conformità PCI? O hai bisogno del tuo server di login openID distinto?
Se si memorizzano i dati della carta di pagamento per un utente e si dispone di un 'Login tramite openID' che include servizi come Google e Facebook, è consentito dalla conformità PCI? O hai bisogno del tuo server di login openID distinto?
Per l'utilizzo da parte dei consumatori, credo che dovresti essere ok, ma per l'utilizzo da parte dei dipendenti potresti potenzialmente imbattersi nel requisito 8.5 PCI-DSS. OpenID fornisce un meccanismo di autenticazione indipendente dai dati e convalida le corrispondenze di un utente con l'ID univoco assegnato all'utente nel sistema. Per gli utenti non consumer ci sono requisiti aggiuntivi per la complessità della password e modifiche che potrebbero non essere applicate da un sistema OpenID di terze parti, tuttavia per gli utenti consumer (le cui informazioni sono protette), sembra essere consentito consentire loro di utilizzare un OpenID per autenticarsi.