当谈到会话超时和范围定义时，我对 PCI 的要求感到非常困惑。

登录是最终用户/客户登录到面向公众的控制面板，他们可以在其中处理自己的交易。我们充当 PSP。客户看不到卡号和有效期。他们可以简单地捕获已经授权的付款并进行订阅付款。

要求 6.5.10 规定：

在成功登录后结合适当的超时和会话 ID 轮换。

要求 8 说明：

注意：这些要求适用于所有账户，包括具有管理功能的销售点账户以及用于查看或访问持卡人数据或访问具有持卡人数据的系统的所有账户。这包括供应商和其他第三方使用的帐户（例如，用于支持或维护）

要求 8.1.18 规定：

如果会话空闲超过 15 分钟，则要求用户重新认证以重新激活终端或会话。

所以我的问题是；要求 8 是否适用于面向公众的客户 Web 界面（意味着适当的超时时间可以是 60 分钟，而不仅仅是 15 分钟）还是仅适用于系统的管理访问，例如通过 SSH 或只能通过以下方式访问的内部 Web 界面范围内的员工。

对于我们的客户来说，15 分钟是一个非常短的会话超时时间，这些客户通常是处理订单的网上商店。他们需要在白天反复登录，因为他们通过我们的所有付款处理最终用户界面，而不是通过 API。