Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 10548 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PCI requirements and remote VPN users

Ifor Davies
One of the requirements for getting PCI accreditation is:

"Automatic disconnect of sessions for remote-access technologies after a specific period of inactivity" - PCI V3 requirement 12.3.8

In effect, PCI requires that remote VPN sessions must time out after a period of inactivity: fifteen minutes, we've been told. I know that this timeout can be set at the client end for some of the VPN clients (eg the IPSec VPN client), but is there a type of VPN client where the timeout can be set at the UTM end, in Webadmin? I can't see anything, but I may just have missed the blindingly obvious... 

I don't think the auditors are going to be happy with a setting that can be changed by the users: if there's no solution to this issue (which is going to affect anyone who needs PCI accreditation) we'll have to look at using a different solution for our remote users.

Any help/advice that anyone can give will be much appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    I would set the timeout in the clients; I don't think that would be a problem for compliance.

    Otherwise, you may be able to obtain an exception if all your servers have idle timeouts for Remote Desktop, SSH, etc.

    Barry
Reply
  • 0
    Hi,

    I would set the timeout in the clients; I don't think that would be a problem for compliance.

    Otherwise, you may be able to obtain an exception if all your servers have idle timeouts for Remote Desktop, SSH, etc.

    Barry
Children
No Data
Unfiltered HTML