Aclaración del requisito de PCI DSS 3.1 6 + 8

6

Estoy bastante desconcertado acerca de los requisitos de PCI cuando se trata de tiempos de espera de sesión y definiciones de alcance.

El inicio de sesión es el inicio de sesión del usuario final / cliente en el panel de control público en el que pueden manejar sus propias transacciones. Actuamos como PSP. El cliente no puede ver los números de las tarjetas y las fechas de vencimiento. Simplemente pueden capturar pagos ya autorizados y realizar pagos de suscripción.

El requisito 6.5.10 declara:

  

Incorporación de tiempos de espera y rotación adecuados de ID de sesión después de un inicio de sesión exitoso.

Requisito 8 estados de la nota:

  

Nota: estos requisitos son aplicables a todas las cuentas, incluidas las cuentas de puntos de venta, con capacidades administrativas y todas las cuentas utilizadas para ver o acceder a los datos del titular de la tarjeta o para acceder a sistemas con datos del titular de la tarjeta. Esto incluye las cuentas utilizadas por los proveedores y otros terceros (por ejemplo, para soporte o mantenimiento)

Y el requisito 8.1.18 establece:

  

Si una sesión ha estado inactiva durante más de 15 minutos, solicite al usuario que vuelva a autenticarse para reactivar el terminal o la sesión.

Así que mi pregunta es; el requisito 8 se aplica a la interfaz web pública para los clientes (lo que significa que un tiempo de espera apropiado podría ser, por ejemplo, 60 minutos en lugar de solo 15) o solo se aplica al acceso administrativo a los sistemas, por ejemplo. a través de SSH o una interfaz web interna a la que solo pueden acceder los empleados en el ámbito.

15 minutos es un período muy corto de tiempo de espera de sesión para nuestros clientes, que a menudo son tiendas web que manejan los pedidos a medida que ingresan. Necesitan iniciar sesión una y otra vez durante el día, ya que hacen todo el pago. manejo a través de nuestra interfaz de usuario final y no a través de la API.

    
pregunta Jeffery 05.01.2016 - 15:30
fuente

2 respuestas

1

El tiempo de espera inactivo no solo se aplica a las cuentas administrativas o internas. Se aplica a:

  

todas las cuentas, incluidas las cuentas de puntos de venta, con capacidades administrativas y todas las cuentas utilizadas   para ver o acceder a los datos del titular de la tarjeta o para acceder a los sistemas con datos del titular de la tarjeta . Esto incluye las cuentas utilizadas por los proveedores y otros terceros (para   ejemplo, para soporte o mantenimiento).

enlace

    
respondido por el Greg Askew 07.01.2016 - 13:30
fuente
0

El requisito 6 habla sobre la especificación de un momento apropiado y esto debe equilibrarse con el caso de uso y el riesgo de seguridad. Si la sesión se utiliza para ver o acceder a los datos del titular de la tarjeta, como se indica en el requisito 8, el tiempo de espera adecuado se especifica en 15 minutos dentro de la norma. Sin embargo, si las tiendas web utilizan la sesión para el envío de datos del titular de la tarjeta en nombre de los pagos de los clientes y no para ver o acceder a los datos del titular de la tarjeta o para acceder a los sistemas con datos del titular de la tarjeta, el tiempo de espera de la sesión puede durar más de 15 minutos.

Puede tomar una decisión teniendo en cuenta los riesgos y los requisitos del cliente durante el tiempo que debe durar.

    
respondido por el AndyMac 07.01.2016 - 21:35
fuente

Lea otras preguntas en las etiquetas