市販の ASP.net メンバーシップ プロバイダーとテーブルは、PCI に準拠していないようです。ASP.net 用の PCI 準拠のメンバーシップ プロバイダーを既に実装している人はいますか? 特に、セクション 8.5 の要件を検討しています。
8.5.2: 非対面の方法で行われたユーザー要求のパスワードのリセットを実行する前に、ユーザーの身元が確認されていますか?
このために、X 時間以内に有効なリセット トークンを含む電子メールを考えています。デフォルトのプロバイダーは、ランダムな値を生成してメールで送信するだけです (ただし、この要件を満たすためにセキュリティの質問/回答を有効にすることもできます)。
8.5.5: 90 日以上経過した非アクティブなユーザー アカウントは削除または無効化されますか?
デフォルト プロバイダはこのアクションをサポートしていません。ログイン試行の続行を許可する前に、OnLoggingIn に結び付けていくつかのチェックを行うことができます。
8.5.9: 使用パスワードは少なくとも 90 日ごとに変更されていますか?
この OnLoggedIn を確認できるはずです。最後のパスワードの日付が 90 日を超えている場合は、目的のコンテンツではなく、パスワード変更フォームにリダイレクトします。
8.5.12: 個人は、過去に使用した 4 つのパスワードのいずれとも異なる新しいパスワードを送信する必要がありますか?
デフォルト プロバイダーのメンバーシップ テーブルがこれをサポートしているとは思えません。パスワード履歴テーブルを追加して、誰かが新しいパスワードを作成するたびにエントリを貼り付けることができます。これらは、ChangePassword コントロールの OnChangingPassword イベントで確認できます。
私はこれを自分で十分に行うことができますが、すでに何かがある場合は利用したいと思います.