Estoy bastante desconcertado acerca de los requisitos de PCI cuando se trata de tiempos de espera de sesión y definiciones de alcance.
El inicio de sesión es el inicio de sesión del usuario final / cliente en el panel de control público en el que pueden manejar sus propias transacciones. Actuamos como PSP. El cliente no puede ver los números de las tarjetas y las fechas de vencimiento. Simplemente pueden capturar pagos ya autorizados y realizar pagos de suscripción.
El requisito 6.5.10 declara:
Incorporación de tiempos de espera y rotación adecuados de ID de sesión después de un inicio de sesión exitoso.
Requisito 8 estados de la nota:
Nota: estos requisitos son aplicables a todas las cuentas, incluidas las cuentas de puntos de venta, con capacidades administrativas y todas las cuentas utilizadas para ver o acceder a los datos del titular de la tarjeta o para acceder a sistemas con datos del titular de la tarjeta. Esto incluye las cuentas utilizadas por los proveedores y otros terceros (por ejemplo, para soporte o mantenimiento)
Y el requisito 8.1.18 establece:
Si una sesión ha estado inactiva durante más de 15 minutos, solicite al usuario que vuelva a autenticarse para reactivar el terminal o la sesión.
Así que mi pregunta es; el requisito 8 se aplica a la interfaz web pública para los clientes (lo que significa que un tiempo de espera apropiado podría ser, por ejemplo, 60 minutos en lugar de solo 15) o solo se aplica al acceso administrativo a los sistemas, por ejemplo. a través de SSH o una interfaz web interna a la que solo pueden acceder los empleados en el ámbito.
15 minutos es un período muy corto de tiempo de espera de sesión para nuestros clientes, que a menudo son tiendas web que manejan los pedidos a medida que ingresan. Necesitan iniciar sesión una y otra vez durante el día, ya que hacen todo el pago. manejo a través de nuestra interfaz de usuario final y no a través de la API.