Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

PCI DSS v3.2.1

自己レスです。PCI SSCの偉い方の話が聞けましたので、4月24日の投稿を補足します。

foxsecurity.hatenablog.com

主な内容は、やはりマイナーチェンジのようです。既存でPCI DSSに取り組んでいる方にはほとんど影響は無いといえそうです。

  • PCI DSS v3.2.1は5月にリリース予定。
  • 期限が来ているものを削除(ベストプラクティス>規定化)
  • PA DSSは変更無し
  • 2018年12月末まではPCI DSS v3.2が使える。2019年1月1日以降はv3.2.1のみ。
  • NISTのパスワード定期変更不要や、OWASP TOP10 2017の要件適用は今回は見送られた

 

◆キタきつねの所感

2項目の、期限が来ているものは、要件に「2018年1月31日まではベストプラクティスと見なされ・・・

f:id:foxcafelate:20180428065146j:plain

と書かれている部分が、期日が既に過ぎているので注意書きがまるまる消される事を意味しているのだと思います。(規定化を明示)例として要件3.5.1を挙げますが、他には6.4.6、8.3.1、10.8、10.8.1、11.3.4.1、12.4.1、12.11、12.11.1がこれに当たります。

今回は完全にマイナー変更だったので、2019年以降に出る改訂版は少し変更が多くなるかも知れません。また、6月末にSSL/初期TLS禁止の期限が来るのですが(要件2.2.3、2.3、4.1等)、敢えてその期限前の5月にマイナーアップデートするという事は、対応の遅れている一部のユーザに向けての配慮と取ることもできるかも知れません。(日本だとガラケーの決済に大きな影響が出ると言われています)

 

尚、今回の改訂で特に影響を受ける部分では無いとは思いますが、8.3.1のCDE(カード会員データ環境)への管理者の非コンソールアクセスに多要素認証の対象には内部ネットワークも含まれている点や、11.3.4.1のセグメンテーション制御が正しいかどうかを確認するペネトレーション(侵入)テストが年1回>年2回必要になる所などは、急には対応しずらい部分でもありますので、オンサイト審査を受けられる会社は留意が必要なポイントかも知れません。

 

5月23-24日に東京で開催されるAPコミュニティミーティングには私も出る予定なので、PCI DSS関連で注目すべき情報があれば、また記事を書きたいと思います。

 

■参考:PCI SSC アジア太平洋地域コミュニティ・ミーティング 

安全なカード社会の実現をめざして日本カード情報セキュリティ協議会

PCI SSC Asia Pacific Community Meeting - Tokyo 2018 - Confirm Identity | Online Registration by Cvent

 

 

f:id:foxcafelate:20180422191754p:plain

 

更新履歴

  • 2018年4月28日AM(予約投稿)