Usuários e servidores dentro do ambiente das aplicações de pagamento podem vir a ser acessados remotamente através de softwares específicos para este fim (terminais remotos, SSH, VNC, pcAnywhere). Nestes casos, deverão ser utilizados algoritmos e protocolos de criptografia aprovados pelo PCI DSS, como por exemplo SSH versão 2, VPN IPsec com criptografia forte 3DES de 168 bits e AES 128 bits para acesso remoto e TLSv1.1 para interfaces de gerenciamento web. Além da criptografia forte, o acesso remoto deve ser autenticado com um mecanismo de autenticação de dois fatores. Portanto, além do usuário e senha deverá ser fornecido um mecanismo adicional (token, certificado). Nestes casos continuam valendo as regras do PCI para definição de usuários e senhas de acesso.
O acesso deverá estar ativo somente durante o tempo necessário para a operação e deverá ter liberadas somente as permissões necessárias para esse acesso. Esse acesso deverá ser auditado.
Com relação ao software de acesso remoto, deve ser levado em consideração:
- Alterar as configurações padrão do software de acesso remoto (usuários, senhas, portas de acesso);
- Permitir conexões somente de endereços específicos conhecidos (endereço IP, MAC);
- Criptografar a transmissão dos dados;
- Utilizar as regras do PCI para geração de usuários e senhas;
- Bloquear a conta após um certo número de tentativas de login sem sucesso;
- Configurar o sistema para que um usuário remoto deva estabelecer uma conexão VPN, através de um firewall, antes de permitir o acesso;
- Habilitar a função de registro de atividades;
- Restringir o acesso às senhas do cliente ao pessoal autorizado dos revendedores/integradores;
- Utilizar credenciais diferentes para cada cliente, evitando que o comprometimento de um usuário ou senha não comprometa todos os ambientes.
(Referências: PA-DSS 10.1, 10.2.1, 10.2.2, 10.2.3, 12.1, 12.1.1 e 12.2)