Aiuto con chiarimenti sull'ambito del requisito PCI 8.5.15

1

La sezione 8.5.15 legge:

If a session has been idle for more than 15 minutes, require the user to re-enter the password to re-activate the terminal.

La sezione 8 riporta la nota:

These requirements are applicable for all accounts, including point-of-sale accounts, with administrative capabilities and all accounts used to view or access cardholder data or to access systems with cardholder data. However, Requirements 8.1, 8.2 and 8.5.8 through 8.5.15 are not intended to apply to user accounts within a point-of-sale payment application that only have access to one card number at a time in order to facilitate a single transaction (such as cashier accounts).

Le dichiarazioni contraddittorie sono:

applicable for all accounts

to access systems with cardholder data

e

are not intended to apply to user accounts within a point-of-sale payment application that only have access to one card

Il modo in cui leggo questo è che il requisito non si applica a qualsiasi account che non ha nulla a che fare con carte di credito o funzioni amministrative che potrebbero indurli a ottenere l'accesso alle carte di credito. Ad esempio, un account con una funzione per inviare e-mail ai miei clienti sarebbe fuori ambito.

Lo apprezzerebbero se qualcuno potesse aiutare a convalidare-invalidare la mia interpretazione e chiarire perché mi sbaglio se lo sono.

    
posta François Lamarre 23.02.2012 - 21:58
fonte

1 risposta

3

Sì, la tua comprensione è molto vicina.

La nota di accompagnamento è intesa a chiarire esattamente quel punto: tali requisiti si applicano solo agli account che hanno accesso a più carte.
Cioè un'applicazione di cassa, che accetta una singola carta per volta (e non può accedere ai dati storici!), è fuori portata.
Cioè il tuo account che può solo inviare e-mail (supponendo che non vi sia alcun accesso ai clienti CHD) è fuori portata.

    
risposta data 23.02.2012 - 22:10
fonte

Leggi altre domande sui tag