Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

PCI DSSのv3.2.1がリリース間近

JCDSCの定期総会で、PCI SSCのBlogにPCI DSSのマイナーバージョンアップの話が出ているよと教えてもらいました。

blog.pcisecuritystandards.org

Here’s a preview of the minor updates stakeholders can expect in PCI DSS v3.2.1:

  • Remove notes referring to an effective date of February 1, 2018 for applicable requirements, as this date has passed.
  • Update applicable requirements and Appendix A2 to reflect that only POS POI terminals and their service provider connection points may continue using SSL/early TLS as a security control after June 30, 2018.
  • Fix minor typographical errors, punctuation and format issues.

 

◆キタきつねの所感

4月18日の記事が確かにありました。

リリース予定内容を見ると、本当にマイナー変更の様です。2018年2月1日からのベストプラクティスから要件化した内容について要件期日が過ぎたので、その部分を修正することと、POS関係でSSLとTLS1.0(1.1)使用期限を2018年6月30日まで延長、その他タイプミスとフォーマット修正等ですので、既存のPCI DSS認定組織あるいは、これから取ろうとしている組織について、現在のv3.2の内容を考えておけば良いものと思います。

とは言え、少し先(来年な気もしますが)には、ある程度の改訂がある気がします。というのは、PCI DSSはOWASPやNISTの規格を参照している項目があり、特にOWASP TOP10 2017版では少し差分が出ています(要件6の辺り)。今後の侵入テストでは新たなOWASPも取り入れられてテストが実施されるはず。

それ以外にもNISTがパスフレーズの定期変更部分のベストプラクティスを緩くした事もあり、近い将来にPCI DSSが要求している、四半期毎のパスワード変更の項目は変更される可能性が高いといえます。

 

 

f:id:foxcafelate:20180422191754p:plain

更新履歴

  • 2018年4月22日PM(予約投稿)