在 PCI DSS3 要求中,它规定用户必须每 90 天更改一次密码,英国的银行如何绕过这一要求?是因为2FA吗?
作为一项新业务,我们正在分析需求以及我们需要做什么,尤其是当大多数公司不需要它时,这一点似乎很极端
PCI 合规性密码更改时间要求
信息安全
pci-dss
合法的
2021-08-23 12:33:35
1个回答
我假设您说的是银行的客户不需要每 90 天更改一次密码。
银行客户不在PCI覆盖范围内;PCI 规定了在 PCI 范围内从事基础设施工作的员工和其他人员需要做什么。引用PCI DSS 3.2.1要求 8(强调我的):
注:这些要求适用于所有帐户,包括点销售帐户,具有管理功能,并用于查看或访问持卡人数据或接入系统与持卡人数据的所有账户。这包括供应商和其他第三方使用的帐户(例如,用于支持或维护)。这些要求不适用于由消费者(例如,持卡人)使用的帐户。
其它你可能感兴趣的问题