Los requisitos de contraseña de PCI DSS, entre todo lo demás, establecen que debe aplicar una política de contraseña muy específica:
Debe obligar a los usuarios a cambiar sus contraseñas cada 90 días, sus contraseñas no pueden tener menos de 7 caracteres, etc.
Por lo que sé, las grandes empresas como Google, Facebook, PayPal y muchas más no aplican esa política. Por ejemplo, ninguno de ellos congela su cuenta después de un período de inactividad que requiere PCI DSS y servicios como Facebook permiten que su contraseña tenga una longitud de 6 caracteres (que es menor que los 7 caracteres mínimos indicados en los requisitos de PCI DSS).
Esas compañías son proveedores de servicios de nivel 1 de DSS de PCI y se enumeran en el índice de proveedores de servicios de DSS de PCI.
¿Cómo pueden esas empresas ser compatibles con PCI DSS aunque no apliquen la política de contraseñas de PCI DSS?
¿A quién se aplica la política? ¿Se aplica al usuario / cliente simple o se trata de personal / moderadores?