Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 10546 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PCI requirements and remote VPN users

Ifor Davies
One of the requirements for getting PCI accreditation is:

"Automatic disconnect of sessions for remote-access technologies after a specific period of inactivity" - PCI V3 requirement 12.3.8

In effect, PCI requires that remote VPN sessions must time out after a period of inactivity: fifteen minutes, we've been told. I know that this timeout can be set at the client end for some of the VPN clients (eg the IPSec VPN client), but is there a type of VPN client where the timeout can be set at the UTM end, in Webadmin? I can't see anything, but I may just have missed the blindingly obvious... 

I don't think the auditors are going to be happy with a setting that can be changed by the users: if there's no solution to this issue (which is going to affect anyone who needs PCI accreditation) we'll have to look at using a different solution for our remote users.

Any help/advice that anyone can give will be much appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    One of the requirements for getting PCI accreditation is:

    "Automatic disconnect of sessions for remote-access technologies after a specific period of inactivity" - PCI V3 requirement 12.3.8

    In effect, PCI requires that remote VPN sessions must time out after a period of inactivity: fifteen minutes, we've been told. I know that this timeout can be set at the client end for some of the VPN clients (eg the IPSec VPN client), but is there a type of VPN client where the timeout can be set at the UTM end, in Webadmin? I can't see anything, but I may just have missed the blindingly obvious... 

    I don't think the auditors are going to be happy with a setting that can be changed by the users: if there's no solution to this issue (which is going to affect anyone who needs PCI accreditation) we'll have to look at using a different solution for our remote users.

    Any help/advice that anyone can give will be much appreciated.


    considering PCI equipment is supposed to be physically separate from other networks...and given the large amount of breaches of pci equipment...why let there be remote access to the pci network at all?  I do knot know your requirements but for my clients none of them have remote access to the pci network...period.  That removes that compliance problem AND doesn't make you a possibility of a Target like breach.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Thanks guys... I thought this wasn't going to be easy!

    To answer William's question - the VPN connections are for support staff, so they can do on-call work from home. Obviously, there are other layers of security protecting the PCI compliant networks, but the PCI auditors (or the ones that we get, at least) like to see a "belt and braces" solution to all possible issues.
Reply
  • 0 in reply to William Warren
    Thanks guys... I thought this wasn't going to be easy!

    To answer William's question - the VPN connections are for support staff, so they can do on-call work from home. Obviously, there are other layers of security protecting the PCI compliant networks, but the PCI auditors (or the ones that we get, at least) like to see a "belt and braces" solution to all possible issues.
Children
No Data
Unfiltered HTML