Esiste un valore massimo applicato o raccomandato da PCI-DSS per la scadenza dell'accesso e l'aggiornamento del JWT?
Se non applicato, qual è il valore appropriato per evitare problemi durante gli audit?
Esiste un valore massimo applicato o raccomandato da PCI-DSS per la scadenza dell'accesso e l'aggiornamento del JWT?
Se non applicato, qual è il valore appropriato per evitare problemi durante gli audit?
Nel complesso, il JWT viene utilizzato su un accesso Web per accedere alle pagine, quindi, a meno che tu non abbia fatto qualcosa di pazzo come consentire l'accesso alla shell cmd (possiamo dire che è importante), hai il 100% di controllo nel tempo, sono i tuoi utenti e i clienti accedono e PCI non ne parla molto.
In realtà è solo un altro cookie, quindi quali sono le scadenze per i cookie scaduti?
Ora entri nel regno delle migliori pratiche ....
Questa JWT è utilizzata da un amministratore del sistema in cui possono accedere a CHD; per esempio. PAN? Se è così, dovresti considerare l'MFA e trattarlo su un accesso 1 alla volta con timeout di 5 minuti.
Se questa JWT è per i tuoi clienti / CSR è una decisione aziendale. Personalmente, impostare il timeout massimo su 15-60 minuti di nessuna attività e aggiornarlo solo se inviano una pagina. Potresti avere fantasia e chiedere loro di rinnovare, ma questo dipende da te e dalle tue politiche di sicurezza. In questo modo non scade se stanno facendo un lavoro, ma se escono a pranzo, chiude la sessione.
Ho visto valori fino a 10 ore (per coprire un giorno lavorativo per i CSR) e fino a 5 minuti per coprire casi d'uso molto specifici; per esempio. Accesso CHD per l'elaborazione del rimborso.
Indipendentemente dall'ora scelta, modifica i criteri per eseguirne il backup. Poiché si tratta di una decisione aziendale, si desidera avere una documentazione che indichi quale sia il valore derivante da una posizione CYA aziendale.