Ayuda para aclarar el alcance del requisito de PCI 8.5.15

1

Lee la sección 8.5.15:

  

Si una sesión ha estado inactiva durante más de 15 minutos, solicite al usuario   para volver a ingresar la contraseña para reactivar el terminal.

En la sección 8 se lee una nota de acompañamiento:

  

Estos requisitos son aplicables a todas las cuentas, incluyendo   Cuentas de puntos de venta, con capacidades administrativas y todo   Cuentas utilizadas para ver o acceder a datos de titulares de tarjetas o para acceder a sistemas.   con datos del titular de la tarjeta. Sin embargo, los Requisitos 8.1, 8.2 y 8.5.8 hasta   8.5.15 no está destinado a aplicarse a cuentas de usuario dentro de una aplicación de pago en el punto de venta que solo tienen acceso a una tarjeta   número a la vez para facilitar una transacción única (como   cuentas de caja).

Las declaraciones contradictorias son:

  

aplicable a todas las cuentas

     

para acceder a sistemas con datos de titulares de tarjetas

y

  

no están destinados a aplicarse a cuentas de usuario dentro de un punto de venta   Aplicación de pago que solo tiene acceso a una tarjeta

La forma en que leo esto es que el requisito no se aplica a ninguna cuenta que no tenga nada que ver con la tarjeta de crédito o funciones administrativas que podrían llevarlos a acceder a las tarjetas de crédito. Así, por ejemplo, una cuenta con una función para enviar correos electrónicos a mis clientes estaría fuera del alcance.

Agradecería que alguien ayudara a validar-invalidar mi interpretación y aclarar por qué me equivoco si lo estoy.

    
pregunta François Lamarre 23.02.2012 - 21:58
fuente

1 respuesta

3

Sí, tu comprensión es bastante cercana.

La nota adjunta tiene la intención de aclarar exactamente ese punto: esos requisitos se aplican solo a las cuentas que tienen acceso a varias tarjetas.
Es decir. Una aplicación de cajero, que acepta una sola tarjeta a la vez (¡y no puede acceder a datos históricos!), está fuera del alcance.
Es decir. Su cuenta que solo puede enviar correos electrónicos (asumiendo que no hay acceso a los clientes CHD) está fuera del alcance.

    
respondido por el AviD 23.02.2012 - 22:10
fuente

Lea otras preguntas en las etiquetas