8.1.1 要件 8 で特定されたすべてのセキュリティポ リシーと運用手順がある。
・ 文書化されている。
・ 最新の状態に保たれている。
・ 使用されている。
・ すべての関係者に知られている。
8.1.2 要件 8 の活動を行うための役割と責任が文書 化され、割り当てられ、理解されている
8.2.2 グループアカウント、共有アカウント、汎用 アカウント、またはその他の共有された認証情報 は、例外的に必要な場合のみ使用し、以下のように 管理される。
・ 例外的に必要な場合を除き、アカウントの利用 を禁止する。
・ 使用は例外的な状況に必要な時間に制限され る。
・ 使用を正当化するビジネス上の理由が文書化さ れている。
・ 使用は、経営陣によって明示的に承認される。
・ アカウントへのアクセスが許可される前に、 個々のユーザの身元が確認される。
・ 実行されたすべてのアクションが、個々のユー ザに起因するものである。
8.4.2 カード会員データ環境(CDE)へのすべての アクセスに MFA が実装されている。
8.5.1 多要素認証システムは、以下のように実装さ れる。
・ 多要素認証システムはリプレイ攻撃の影響を受 けない
・ 多要素認証システムは、期間を限定して、特別 に文書化し、例外的に管理者によって許可され ない限り、管理者ユーザを含むいかなるユーザ であってもバイパスすることはできない
・ 少なくとも異なる 2 種類の認証要素が使用され ている
・ アクセスが許可される前に、すべての認証要素 に成功することが要求される
8.6.2 対話型ログインに使用できるアプリケーショ ンおよびシステムアカウント用のパスワード/パス フレーズは、スクリプト、構成ファイル/プロパテ ィファイル、カスタムソースコードにハードコード されていてはならない。
8.6.3 アプリケーションおよびシステムアカウント 用のパスワード/パスフレーズは、次のように悪用 から保護されます。
・ パスワード/パスフレーズは定期的に(要件 12.3.1 に規定されるすべての要素に従って実行 される事業体のターゲットリスク分析で定義さ れる頻度で)、および侵害の疑いまたは確認が あった場合に変更される
・ パスワード/パスフレーズは、事業体がパスワ ード/パスフレーズを変更する頻度 に応じて、 十分な複雑さで構築されている