Si almacena los datos de la tarjeta de pago para un usuario y tiene un 'Iniciar sesión a través de openID' que incluye servicios como Google y Facebook, ¿esto está permitido bajo el cumplimiento de PCI? ¿O necesita su propio servidor de inicio de sesión openID distinto?
Para el uso por parte de los consumidores, creo que debería estar bien, pero para el uso por parte de los empleados, usted podría estar en conflicto con el requisito 8.5 del PCI-DSS. OpenID proporciona un mecanismo de autenticación independiente de los datos y valida que un usuario coincida con la ID única asignada al usuario dentro de su sistema. Para los usuarios que no son consumidores, existen requisitos adicionales para la complejidad de la contraseña y los cambios que podrían no ser aplicados por un sistema OpenID de terceros, sin embargo, para los usuarios consumidores (cuya información está protegida), parece ser posible permitirles usar un OpenID para autenticar.