Sono piuttosto perplesso riguardo ai requisiti PCI quando si tratta di timeout di sessione e definizioni di scope.
L'accesso è l'accesso utente / cliente al pannello di controllo pubblico in cui possono gestire le proprie transazioni. Agiamo come PSP. Il cliente non può vedere i numeri delle carte e le date di scadenza. Possono semplicemente acquisire i pagamenti già autorizzati e effettuare i pagamenti dell'abbonamento.
Il requisito 6.5.10 afferma:
Incorporating appropriate time-outs and rotation of session IDs after a successful login.
Requisiti della nota 8:
Note: These requirements are applicable for all accounts, including point-of-sale accounts, with administrative capabilities and all accounts used to view or access cardholder data or to access systems with cardholder data. This includes accounts used by vendors and other third parties (for example, for support or maintenance)
E il requisito 8.1.18 afferma:
If a session has been idle for more than 15 minutes, require the user to re-authenticate to re-activate the terminal or session.
Quindi la mia domanda è; il requisito 8 si applica all'interfaccia web pubblica per i clienti (il che significa che un timeout appropriato potrebbe essere ad esempio 60 minuti anziché solo 15) o si applica solo all'accesso amministrativo ai sistemi, ad es. tramite SSH o un'interfaccia Web interna accessibile solo dai dipendenti nell'ambito.
15 minuti sono tempi molto brevi per i timeout delle sessioni per i nostri clienti, che sono spesso negozi web che gestiscono gli ordini mentre entrano. Devono effettuare il login più e più volte durante il giorno, poiché eseguono tutti i loro pagamenti gestione attraverso la nostra interfaccia utente finale e non tramite l'API.