As regras determinadas pelo PCI no que diz respeito ao controle de acesso a servidores, aplicativos e outros componentes do sistema envolvidos no tratamento dos dados do portador do cartão são as seguintes:

• Não utilize senhas genéricas, de grupos ou compartilhadas;
• Não utilize senhas padrão fornecidas por quaisquer aplicativos. A senha do usuário no D-TEF Web inicial é padrão, mas deve ser trocada no primeiro login;
• As senhas de usuário deverão ser alteradas a cada 90 dias (o D-TEF Web realiza esse tratamento);
• Utilização de usuários únicos e senhas complexas (o D-TEF Web realiza esse tratamento);
• A senha deverá ter pelo menos 7 caracteres (o D-TEF Web realiza esse tratamento);
• Use senhas contendo caracteres tanto numéricos como alfabéticos (o D-TEF Web realiza esse tratamento);
• Não permita que um indivíduo submeta uma nova senha que seja idêntica a qualquer uma das quatro últimas que ele usou (o D-TEF Web realiza esse tratamento);
• Evite utilizar contas padrão de sistemas e aplicativos, como por exemplo "Administrador" do sistema operacional Windows, "sa" do banco de dados SQL Server e "root" do sistema operacional Linux (para os procedimentos, ver a seção abaixo);
• Limite a tentativa de acesso repetido por razão de bloqueio do ID do usuário a não mais de seis tentativas (o D-TEF Web limita a quantidade de acessos sem sucesso a 3 tentativas);
• Ajuste a duração do bloqueio para trinta minutos ou até que o administrador habilite o ID do usuário;
• Se uma sessão estiver inativa por mais de 15 minutos, exija que o usuário informe outra vez a senha para reativar o terminal (o D-TEF Web realiza esse tratamento).

Os tratamentos feitos pelo D-TEF Web não são configuráveis nem podem ser alterados durante ou após a instalação.
(Referência: PA-DSS 3.1)