¿A quién se aplican los requisitos de contraseña de PCI DSS?

8

Los requisitos de contraseña de PCI DSS, entre todo lo demás, establecen que debe aplicar una política de contraseña muy específica:

Debe obligar a los usuarios a cambiar sus contraseñas cada 90 días, sus contraseñas no pueden tener menos de 7 caracteres, etc.

Por lo que sé, las grandes empresas como Google, Facebook, PayPal y muchas más no aplican esa política. Por ejemplo, ninguno de ellos congela su cuenta después de un período de inactividad que requiere PCI DSS y servicios como Facebook permiten que su contraseña tenga una longitud de 6 caracteres (que es menor que los 7 caracteres mínimos indicados en los requisitos de PCI DSS).

Esas compañías son proveedores de servicios de nivel 1 de DSS de PCI y se enumeran en el índice de proveedores de servicios de DSS de PCI.

¿Cómo pueden esas empresas ser compatibles con PCI DSS aunque no apliquen la política de contraseñas de PCI DSS?

¿A quién se aplica la política? ¿Se aplica al usuario / cliente simple o se trata de personal / moderadores?

    
pregunta Theodore 15.02.2017 - 14:09
fuente

2 respuestas

11
  

Los requisitos de contraseña de PCI DSS, entre todo lo demás, indican el estado   que debe aplicar una política de contraseña muy específica:

     

Debe obligar a los usuarios a cambiar sus contraseñas cada 90 días,   sus contraseñas no pueden tener menos de 7 caracteres, etc.

     

...

     

¿A quién se aplica la política? ¿Se aplica en el usuario simple /   ¿Cliente o está hablando del personal / moderadores?

Para citar el DSS 3.2, texto de introducción al Requisito 8 ("Identificar y autenticar el acceso a los componentes del sistema"):

Note: These requirements are applicable for all accounts, including
point-of-sale accounts, with administrative capabilities and all 
accounts used to view or access cardholder data or to access systems
with cardholder data. This includes accounts used by vendors and
other third parties (for example, for support or maintenance). These
requirements do not apply to accounts used by consumers (e.g., cardholders).
  

Por lo que sé, grandes empresas como Google, Facebook, PayPal y   muchos más no hacen cumplir esa política. Por ejemplo, ninguno de ellos se congela.   su cuenta después de un período de inactividad como PCI DSS requiere y   Servicios como Facebook permiten que su contraseña tenga 6 caracteres de longitud.   (que es menor que los 7 caracteres mínimos indicados en el PCI DSS   requisitos).

     

Esas compañías son proveedores de servicios de nivel 1 de DSS de PCI y se enumeran   en el índice de proveedores de servicios PCI DSS.

Google y PayPal son; No veo Facebook en la Listado de SP de Visa . Pero como se mencionó anteriormente, no es su cuenta, la cuenta del consumidor, la que se rige por PCI DSS. Y, especialmente con una empresa como Google, es fácil tener una cuenta que nunca llega a tocar una tarjeta de crédito o una función de procesamiento de crédito. Así que no es tan sorprendente.

    
respondido por el gowenfawr 15.02.2017 - 14:24
fuente
3

Se aplica a las contraseñas de los usuarios que tienen acceso a las redes donde se almacenan los datos de la tarjeta, que normalmente serán empleados o contratistas de la empresa. No se aplica a las contraseñas de los clientes, a menos que, por alguna razón, dichas contraseñas permitan el acceso a los datos de la tarjeta (sin incluir los primeros seis y últimos cuatro dígitos del número de la tarjeta, que no tienen que estar protegidos).     

respondido por el Mike Scott 15.02.2017 - 14:23
fuente

Lea otras preguntas en las etiquetas