A meno che non vi sia un quadro normativo o di conformità intorno alla tua offerta, i PIN o le password scadenti spetta alla tua organizzazione. Di solito, un'azienda o un'organizzazione definiscono questa pratica nella loro politica di sicurezza. Se la tua organizzazione ne ha una, è lì che dovresti cercare la risposta.
Detto questo, se non si dispone già di una politica di sicurezza, dare un'occhiata al quadro delle politiche di sicurezza di NIST. Forniscono un esempio completo che potresti applicare alla tua organizzazione.
Nel caso specifico di chiedere a un utente di fornire un "PIN di ripristino", probabilmente non ha molto senso tentare di farlo scadere, a meno che non si richieda di cambiarlo periodicamente (ciò sarebbe inusuale).