O pré-requisitos de sistema operacional e hardware estão descritos no manual de configuração e instalação do D-TEF, no capítulo 2 Seções 2.1 e 2.2.
A política de senhas para os usuários do sistema operacional onde estão executando aplicações que realizam acesso aos dados de portador de cartão deverá seguir as regras descritas na primeira parte do documento (Controle de acesso). As regras são as seguintes.

• Cada usuário com acesso individual deve ter o seu próprio login;
• Contas de administrador não devem ser utilizadas regularmente para utilização do servidor. Neste caso, criar novos usuários únicos para que sejam utilizados no lugar das contas de administrador padrão do sistema;
• Contas default não utilizadas devem ser desabilitadas. Por exemplo, usuário "guest" nos sistemas Windows e contas "uucp", "irc", "mail" no Linux. Para sistema operacional Windows acessar Iniciar > Executar > COMPMGMT.MSC e nas opções à esquerda escolha Usuários e Grupos Locais -> Usuários. A seguir, clique com o botão direito do mouse na conta Administrador e selecione Propriedades. Na guia Geral, desmarque a caixa de seleção Conta desabilitada.
• Quaisquer contas e principalmente as contas default devem possuir senhas fortes.

Deverá ser configurado o log de eventos do sistema operacional.

• Registro de login de usuários;
• Registro de acessos remotos. Os procedimentos de configuração de registro de acessos remotos estão no final do capítulo.

Serviços e protocolos não utilizados deverão ser desabilitados, como por exemplo servidor Web, FTP, Serviço de compartilhamento de arquivos (para Windows). Para Linux, também devem ser desabilitados serviços não utilizados (dedicar atenção especial aos seguintes: cupsd, httpd, named, bind, sendmail, named, mysqld, postgresqld, samba, winbind, bluetooth, avahi, anacron, dns-clean, pppd-dns). No final do capítulo estão as instruções para desabilitar os serviços não utilizados no Windows e no Linux.
Política de segurança e senha do sistema operacional (os procedimentos de configuração estão no final do capítulo)

• Políticas de senha:
• a senha deve satisfazer a requisitos de complexidade: ativada.
• aplicar histórico de senhas: lembrar últimas 4 senhas.
• comprimento mínimo da senha: 7 caracteres.
• tempo de vida máximo da senha: 90 dias.
• tempo de vida mínimo da senha: 0 dias.
• Diretiva de bloqueio de conta:
• duração do bloqueio da conta: 30 min.
• limite de bloqueio da conta: 6 tentativas de logon inválidas.
• zerar contador de bloqueios de conta após: 30 min.

O sistema operacional também deverá ser atualizado sempre que surgirem novas correções do software. Quando possível, configurar a atualização automática do software. Para os sistemas operacionais da família Windows existe a ferramenta Microsoft Baseline Security Analyzer que pode ajudar na configuração segura do ambiente. Esta ferramenta verifica se o computador está atualizado e se ele está configurado de acordo com as principais políticas de segurança. Ela entretanto não deve ser considerada como única indicação de que o computador esteja seguro, mas as ocorrências que ela apresentar mostram que pode haver problema de configuração.
(Referência: PA-DSS 3.1, PA-DSS 3.2, PA-DSS 8.2).