Wymagania PCI DSS dotyczące haseł: Kierunki zgodności

PCI DSS (Payment Card Industry Data Security Standard) nakłada na wszystkie organizacje przetwarzające dane właścicieli kart obowiązek stosowania rygorystycznego zarządzania hasłami. Ma to na celu ograniczenie ryzyka wycieku danych i nieautoryzowanego dostępu.

Poniżej przedstawiono główne wymagania PCI DSS dotyczące haseł:

1. Złożoność haseł: Hasła muszą zawierać kombinację dużych liter, małych liter, cyfr i znaków specjalnych. Wyższa złożoność haseł zwiększa odporność na ataki typu brute-force.

2. Minimalna długość haseł: Hasło powinno mieć co najmniej 7 znaków, a zalecana długość minimalna to 12 znaków. Dłuższe hasła utrudniają ich złamanie.

3. Okres ważności haseł: Hasła należy zmieniać co 90 dni. Jeśli system wspiera dłuższe okresy przy przeprowadzeniu analizy ryzyka, możliwe są wyjątki. Regularna zmiana haseł zmniejsza ryzyko długotrwałego wykorzystania skompromitowanego hasła.

4. Weryfikacja wieloczynnikowa (MFA): W systemach przetwarzających dane właścicieli kart MFA jest obowiązkowa. MFA zmniejsza ryzyko zależności wyłącznie od hasła i obejmuje np. kody SMS, tokeny sprzętowe lub uwierzytelnianie biometryczne.

5. Zablokowanie kont: Systemy muszą blokować konta po określonej liczbie nieudanych prób logowania, aby zapobiec atakom brute-force.

Dodatkowo PCI DSS zaleca następujące środki uzupełniające:

- Monitorowanie i rejestrowanie wszystkich prób logowania w celu wykrywania i śledzenia incydentów bezpieczeństwa.

- Zakaz stosowania słabych haseł oraz haseł ujawnionych w wyciekach danych.

- Edukacja użytkowników na temat tworzenia i bezpiecznego zarządzania hasłami.