PCIの明確化DSS 3.1要件6 + 8
セッションのタイムアウトとスコープの定義に関しては、PCIの要件についてかなり困惑しています。
ログインとは、一般ユーザー向けのコントロールパネルへのエンドユーザー/顧客のログインであり、ユーザーは自分のトランザクションを処理できます。 PSPを務めています。顧客できないカード番号と有効期限を参照してください。彼らは単に承認済みの支払いを取得し、サブスクリプションの支払いを行うだけです。
要件6.5.10は次のように述べています。
ログイン成功後のセッションIDの適切なタイムアウトとローテーションを組み込む。
要件8のメモの状態:
注:これらの要件は、POSアカウントを含むすべてのアカウントに適用され、管理機能と、カード所有者データの表示またはアクセス、またはカード所有者データを持つシステムへのアクセスに使用されるすべてのアカウントが適用されます。これには、ベンダーやその他のサードパーティ(たとえば、サポートやメンテナンスなど)が使用するアカウントが含まれます
また、要件8.1.18には次のように記載されています。
セッションが15分以上アイドル状態になっている場合は、端末またはセッションを再度アクティブにするために、ユーザーに再認証を要求します。
だから私の質問です。要件8は、顧客向けのパブリックWebインターフェイスに適用されますか(つまり、適切なタイムアウトは15分ではなく60分になる可能性があります)、またはシステムへの管理アクセスにのみ適用されます(例: SSHまたは範囲内の従業員のみがアクセスできる内部Webインターフェイスを介して。
15分は、顧客が注文を処理するWebショップであることが多いセッションタイムアウトの非常に短い時間です。すべての支払い処理はGoogleを通じて行われるため、日中何度もログインする必要があります。 API経由ではなく、エンドユーザーインターフェイス。
アイドルタイムアウトは、管理アカウントまたは内部アカウントだけに適用されるわけではありません。以下に適用されます:
管理機能を備えたPOSアカウントを含むすべてのアカウントと、カード会員データの表示またはアクセスまたはカード会員データを使用したシステムへのアクセスに使用されるすべてのアカウント。これには、ベンダーやその他のサードパーティ(たとえば、サポートやメンテナンスなど)が使用するアカウントが含まれます。
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdf
要件6では、適切な時間の指定について説明しており、これはユースケースとセキュリティリスクとのバランスを取る必要があります。要件8で参照されているようなカード会員データを表示またはアクセスするために使用されるセッションである場合、適切なタイムアウトは標準内で15分に指定されています。ただし、顧客の支払いに代わってカード会員データを送信するためにセッションがWebショップによって使用され、カード会員データを表示またはアクセスしたり、カード会員データを持つシステムにアクセスしたりしない場合、セッションタイムアウトは15分より長くなる可能性があります。
リスクと顧客の要件を考慮して、必要な期間を決定できます。