La respuesta corta es: no es relevante (es decir, sí)
PCI-DSS rige las medidas de seguridad que se toman para proteger el secreto de los números CC (tarjeta de crédito) y los códigos de seguridad. Las medidas que deben tomarse para lograr esto tienen que ver con la gestión de permisos internos / corporativos por parte del sitio web. ¿Estás usando un firewall? ¿Algún esquema interno de autenticación dual? Uso de LDAP? Procedimientos de liberación de código? etc.
Desde el punto de vista del usuario, una vez que ingrese el número CC, nunca más podrá ver su número o el número de otra persona. Esto significa dos cosas:
1. La conexión entre el usuario y el sitio web debe ser segura. Idealmente a través de SSL.
2. El producto del sitio web debe garantizar que los usuarios solo puedan ingresar números CC y nunca ver los números existentes. Esto se logra configurando las rutas de código correctas.
- Cómo desbloquear una computadora sin saber la contraseña
- ¿Cuál es su tipo favorito de codificación (encriptación)?
- En términos de aplicación instantánea móvil, ¿quién es responsable de la seguridad de los datos, el desarrollador de la aplicación o el sistema operativo?
- Cómo deshabilitar el antivirus de Sophos
- ¿Cuál es el mejor antivirus, que no ralentiza la computadora? ¿Qué lo hace mejor y por qué no ralentiza su computadora?
Con respecto al caso de uso donde las credenciales están comprometidas: el único escenario relevante es aquel en el que se ingresa un número CC (el número CC no está expuesto en otros escenarios). Un atacante que ingrese su información de CC significa que ya ha comprometido el CC.
Por lo tanto, el método de autenticación de usuario es irrelevante desde el punto de vista PCI. El objetivo del estándar es asegurarse de que la transmisión y el acceso a los números de tarjeta almacenados estén asegurados.