Стандартный поставщик членства в ASP.net и таблицы не соответствуют требованиям PCI.Кто-нибудь уже внедрил PCI-совместимый поставщик членства для ASP.net?В частности, я смотрю на требования к разделу 8.5:
8.5.2: проверяется ли личность пользователя перед выполнением сброса пароля для пользовательских запросов, выполненных не лицом к лицу?
Для этого я думаю, что письмо с токеном сброса действует не более X часов.Поставщик по умолчанию просто генерирует случайное значение и отправляет его по электронной почте (хотя мы могли бы включить секретный вопрос / ответ для выполнения этого требования).
8.5.5: неактивные учетные записи пользователей старше 90дни удалены или отключены?
Поставщик по умолчанию не поддерживает это действие.Мы могли бы подключиться к OnLoggingIn, чтобы выполнить некоторые проверки, прежде чем разрешить продолжить вход в систему.
8.5.9: меняются ли пароли использования по крайней мере каждые 90 дней?
Должен быть в состоянии проверить это OnLoggedIn.Если дата последнего пароля> 90, перенаправьте на форму смены пароля вместо желаемого содержимого.
8.5.12: Необходимо, чтобы физическое лицо представило новый пароль, отличный от любого из последнихчетыре пароля, которые он или она использовали?
Я не верю, что таблицы членства для провайдеров по умолчанию поддерживают это.Мы могли бы добавить таблицу истории паролей и вставлять запись в каждый раз, когда кто-то создает новый пароль.Затем их можно проверить в событии OnChangingPassword элемента управления ChangePassword.
Я полностью способен сделать это сам, но если что-то уже есть, я бы хотел воспользоваться.