¿Por cuánto tiempo debe ser válido un JWT en un servicio compatible con PCI-DSS?

1

¿Existe algún valor máximo impuesto o recomendado por PCI-DSS para la expiración del acceso y actualización de JWT?

Si no se aplica, ¿cuál es un valor apropiado para evitar problemas durante las auditorías?

    
pregunta user8808265 23.02.2018 - 19:59
fuente

1 respuesta

1

En general, el JWT se usa en un inicio de sesión web para acceder a las páginas, por lo que, a menos que haya hecho algo alucinante, como permitir el acceso a la shell de cmd (podemos decir que es un tratamiento importante), tiene el 100% de control sobre el tiempo, son sus usuarios y Los clientes inician sesión y PCI realmente no dice mucho al respecto.

Realmente es solo otra cookie, ¿cuáles son sus políticas de expiración?

Ahora entras en el reino de las mejores prácticas ...

¿Está este JWT siendo utilizado por un administrador del sistema donde puede acceder a CHD? p.ej. ¿PAN? Si es así, debería considerar el MFA, y lo trataría en un acceso de 1 por 1 con un tiempo de espera de 5 minutos.

Si este JWT es para sus clientes / CSR, es una decisión comercial. Personalmente establecería el tiempo de espera máximo en 15-60 minutos sin actividad y lo actualizaría solo si enviaban una página. Podría ser elegante y pedirles que renueven, pero eso depende de usted y sus políticas de seguridad. De esta manera, no caducan si están haciendo un trabajo, pero si salen para el almuerzo, entonces cierra la sesión.

He visto valores de hasta 10 horas (para cubrir un día laboral para CSR) y tan solo 5 minutos para cubrir casos de uso muy específicos; p.ej. Acceso a CHD para el procesamiento de reembolsos.

Independientemente de la hora que elija, edite sus políticas para hacer una copia de seguridad. Debido a que es una decisión comercial, usted desea tener documentación que indique cuál es el valor de una posición comercial de CYA.

    
respondido por el ts57 26.02.2018 - 15:30
fuente

Lea otras preguntas en las etiquetas