除其他事项外，PCI DSS 的密码要求规定您必须实施非常具体的密码策略：

您需要强制用户每 90 天更改一次密码，密码不能少于 7 个字符等。

...

该政策适用于谁？它适用于简单的用户/客户还是在谈论员工/版主？

引用 DSS 3.2，要求 8 的介绍文本（“识别和验证对系统组件的访问”）：

Note: These requirements are applicable for all accounts, including
point-of-sale accounts, with administrative capabilities and all 
accounts used to view or access cardholder data or to access systems
with cardholder data. This includes accounts used by vendors and
other third parties (for example, for support or maintenance). These
requirements do not apply to accounts used by consumers (e.g., cardholders).

据我所知，谷歌、Facebook、PayPal 等大公司并没有执行该政策。例如，按照 PCI DSS 的要求，他们都不会在一段时间不活动后冻结您的帐户，而 Facebook 等服务允许您的密码长度为 6 个字符（小于 PCI DSS 要求中规定的最少 7 个字符）。

这些公司是 PCI DSS 1 级服务提供商，并列在 PCI DSS 服务提供商索引中。

谷歌和贝宝是；我没有在Visa SP 列表中看到 Facebook 。但如上所述，受 PCI DSS 管理的不是您的帐户（消费者帐户）。而且，尤其是像谷歌这样的公司，很容易拥有一个永远不会接触信用卡或信用处理功能的帐户。所以这并不奇怪。

它适用于有权访问存储卡数据的网络的用户的密码，这些用户通常是公司的雇员或承包商。它不适用于客户密码，除非出于某种原因，这些密码允许访问卡数据（不包括卡号的前六位和后四位数字，这些数字不必受到保护）。