Un account di servizio è un account utente creato al solo scopo di eseguire un'applicazione. Ad esempio, un sito Web di banking online può disporre di un singolo account di servizio in base al quale viene eseguito il codice.
Gli account di servizio, come qualsiasi altro account, hanno password. Differiscono dalle password degli account degli utenti finali in due modi importanti:
- Le password sono generato da noi (e sono grandi e casuali)
- Le password sono memorizzato da Windows in modo che possa avviare i servizi quando necessario senza interazione umana.
Sto cercando di capire quale tipo di processo di gestione delle password dobbiamo tenere in piedi attorno a questi account.
Le istruzioniPCI-DSS definiscono le seguenti linee guida generali per le password:
- Assegna a tutti gli utenti un ID univoco prima di consentire loro di accedere ai componenti del sistema o dati dei titolari di carta.
- Controlla aggiunta, eliminazione e modifica di ID utente, credenziali e altri oggetti identificatori.
- revoca immediatamente l'accesso per gli utenti che hanno interrotto il servizio.
- Rimuovi / disabilita gli account utente inattivi entro 90 giorni.
- Limita i tentativi di accesso ripetuto bloccando l'ID utente dopo non più di sei tentativi.
- Imposta la durata del blocco su un minimo di 30 minuti o finché un amministratore non abilita l'ID utente.
- Se una sessione è rimasta inattiva per più di 15 minuti, richiedere all'utente di eseguire nuovamente l'autenticazione per riattivare il terminale o la sessione.
- Cambia password / passphrase utente almeno una volta ogni 90 giorni
Ma alcune di queste regole non hanno alcun senso per un account di servizio. Ad esempio, forse non ha senso imporre blocco . E potrebbe essere un vero e proprio dolore al collo cambiare la password ogni 90 giorni, se la stessa identità viene utilizzata per una serie di microservizi, per esempio.
Qualcuna di queste regole si applica agli account di servizio o solo agli account degli utenti finali? Se le regole sono solo per gli account degli utenti finali, quali regole esistono (se esistono) per gli account di servizio?
(Con "apply" intendo "sono considerati durante un audit PCI")