Chiarimento del requisito PCI DSS 3.1 6 + 8

6

Sono piuttosto perplesso riguardo ai requisiti PCI quando si tratta di timeout di sessione e definizioni di scope.

L'accesso è l'accesso utente / cliente al pannello di controllo pubblico in cui possono gestire le proprie transazioni. Agiamo come PSP. Il cliente non può vedere i numeri delle carte e le date di scadenza. Possono semplicemente acquisire i pagamenti già autorizzati e effettuare i pagamenti dell'abbonamento.

Il requisito 6.5.10 afferma:

Incorporating appropriate time-outs and rotation of session IDs after a successful login.

Requisiti della nota 8:

Note: These requirements are applicable for all accounts, including point-of-sale accounts, with administrative capabilities and all accounts used to view or access cardholder data or to access systems with cardholder data. This includes accounts used by vendors and other third parties (for example, for support or maintenance)

E il requisito 8.1.18 afferma:

If a session has been idle for more than 15 minutes, require the user to re-authenticate to re-activate the terminal or session.

Quindi la mia domanda è; il requisito 8 si applica all'interfaccia web pubblica per i clienti (il che significa che un timeout appropriato potrebbe essere ad esempio 60 minuti anziché solo 15) o si applica solo all'accesso amministrativo ai sistemi, ad es. tramite SSH o un'interfaccia Web interna accessibile solo dai dipendenti nell'ambito.

15 minuti sono tempi molto brevi per i timeout delle sessioni per i nostri clienti, che sono spesso negozi web che gestiscono gli ordini mentre entrano. Devono effettuare il login più e più volte durante il giorno, poiché eseguono tutti i loro pagamenti gestione attraverso la nostra interfaccia utente finale e non tramite l'API.

    
posta Jeffery 05.01.2016 - 15:30
fonte

2 risposte

1

Il timeout di inattività non si applica solo agli account amministrativi o agli account interni. Si applica a:

all accounts, including point-of-sale accounts, with administrative capabilities and all accounts used to view or access cardholder data or to access systems with cardholder data. This includes accounts used by vendors and other third parties (for example, for support or maintenance).

link

    
risposta data 07.01.2016 - 13:30
fonte
0

Il Requisito 6 parla di specificare un momento appropriato e questo deve essere bilanciato con il caso d'uso e il rischio per la sicurezza. Se la sessione è quella che viene utilizzata per visualizzare o accedere ai dati di titolari di carta come indicato nel requisito 8, il timeout appropriato viene specificato a 15 minuti all'interno dello standard. Tuttavia, se la sessione viene utilizzata dai negozi online per l'invio dei dati dei titolari di carta per conto dei pagamenti dei clienti e non per visualizzare o accedere ai dati dei titolari di carta o accedere ai sistemi con i dati dei titolari di carta, il timeout della sessione può essere superiore a 15 minuti.

Puoi prendere una decisione considerando i rischi e le esigenze dei clienti quale dovrebbe essere il tempo necessario.

    
risposta data 07.01.2016 - 21:35
fonte

Leggi altre domande sui tag