Changes Session Timeout from Level 2 to Level 1

Document-es/0x09-V4-Authentication_and_Session_Management_Requirements.md

@@ -14,8 +14,8 @@ En la mayoría de los casos, una parte esencial de la arquitectura global de apl
 | **4.4** | Cuando el usuario se desloguea se termina la sesión también en el servidor. | ✓ | ✓ |
 | **4.5** | ​Existe una política de contraseñas y es aplicada en el servidor. | ✓ | ✓ |
 | **4.6** | El servidor implementa mecanismos, cuando credenciales de autenticación son ingresadas una cantidad excesiva de veces.​ | ✓ | ✓ |
-| **4.7** | La autenticación biométrica, si hay, no está atada a un evento (usando una api que simplemente retorna "true" o "false"). Sino que está basado en el desbloqueo del keychain (iOS) o un keystore (Android). |   | ✓ |
-| **4.8** | Las sesiones y los tokens de acceso expiran luego de un tiempo predefinido de inactividad. |   | ✓ |
+| **4.7** | Las sesiones y los tokens de acceso expiran luego de un tiempo predefinido de inactividad. | ✓  | ✓ |
+| **4.8** | La autenticación biométrica, si hay, no está atada a un evento (usando una api que simplemente retorna "true" o "false"). Sino que está basado en el desbloqueo del keychain (iOS) o un keystore (Android). |   | ✓ |
 | **4.9** | Existe un mecanismo de segundo factor de autenticación (2FA) en el servidor y es aplicado consistentemente. |   | ✓ |
 | **4.10** | Para realizar transacciones o acciones que manejan información sensible se requiere una re-autenticación. |   | ✓ |
 | **4.11** | ​La aplicación informa al usuario acerca de los accesos a su cuenta. El usuario es capaz de ver una lista de los dispositivos conectados y bloquear el acceso desde ciertos dispositivos. |  | ✓ |

Document/0x09-V4-Authentication_and_Session_Management_Requirements.md

@@ -14,8 +14,8 @@ In most cases, users logging into a remote service is an integral part of the ov
 | **4.4** | The remote endpoint terminates the existing session when the user logs out. | ✓ | ✓ |
 | **4.5** | A password policy exists and is enforced at the remote endpoint. | ✓ | ✓ |
 | **4.6** | The remote endpoint implements a mechanism to protect against the submission of credentials an excessive number of times. | ✓ | ✓ |
-| **4.7** | Biometric authentication, if any, is not event-bound (i.e. using an API that simply returns "true" or "false"). Instead, it is based on unlocking the keychain/keystore. |   | ✓ |
-| **4.8** | Sessions are invalidated at the remote endpoint after a predefined period of inactivity and access tokens expire. |   | ✓ |
+| **4.7** | Sessions are invalidated at the remote endpoint after a predefined period of inactivity and access tokens expire. | ✓ | ✓ |
+| **4.8** | Biometric authentication, if any, is not event-bound (i.e. using an API that simply returns "true" or "false"). Instead, it is based on unlocking the keychain/keystore. |   | ✓ |
 | **4.9** | A second factor of authentication exists at the remote endpoint and the 2FA requirement is consistently enforced.  |   | ✓ |
 | **4.10** | Sensitive transactions require step-up authentication.  |   | ✓ |
 | **4.11** | The app informs the user of all login activities with their account. Users are able view a list of devices used to access the account, and to block specific devices. |  | ✓ |