Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

PA-DSSの後継規定

PCI SSCから決済アプリケーションの国際セキュリティ基準であるPA-DSSの後継規定が公開されました。

blog.pcisecuritystandards.org

 

PCIソフトウェアセキュリティ基準は、PCIペイメントアプリケーションデータセキュリティ基準(PA-DSS)とどのように異なるのですか?

Troy Leach: PA-DSSは、加盟店がPCI DSSコンプライアンスを維持するのを支援するために、従来のペイメントソフトウェアのセキュリティに関するソフトウェア開発とライフサイクル管理の原則に焦点を当てています。PCIソフトウェアセキュリティ標準は、これを超えて全体的なソフトウェアセキュリティの回復力に対処するために拡張します。このフレームワークは、堅牢なセキュリティ設計と開発プラクティスを備えたベンダのために、ソフトウェアセキュリティを検証するための新しい方法とアプローチ、および個別の安全なソフトウェアライフサイクルの認定を提供します。 

言い換えれば、それらは相互に排他的ではなく、安全なソフトウェアプラクティスを実証するための追加の代替手段を可能にする進歩的なアプローチを提供します。

PCI SSC発表より引用)※機械翻訳

 

◆キタきつねの所感

まだ仕様の詳細を読んでませんが、発表された内容をみる限りでは、PA-DSSの後継規定・フレームワークである事が分かります。言い方を変えれば、決済ソフトウェア分野でインシデントが続いている事を受けて、規定と規定以外のフレームを強化したのだと思われます。

日本では2020年に向けて対面加盟店のPOSがセキュリティ強化の段階に入りますが、多くの事業者は(様々な理由があるのだとは思いますが)非保持相当を狙っており、PA-DSSやPCI DSS認定を取りに行かないだろうといわれています。

とは言え、新仕様の考え方(特にインシデントを受けて強化された部分)を把握し、その脆弱性が無いかどうかをチェックしておかなければ、「非保持」を実現しても(したはずであっても)、その実装の隙を突かれてカード情報や重要情報を漏えいしてしまう可能性が懸念されます。そうした意味では、この新しい仕様は見るべきなのではないかなと思います。

 

PA-DSSとの新仕様との関係性ですが、どうやら新規PA-DSS認定が2020年PA-DSSの更新認定が2022年と移行期間が設定されるようです。

Troy Leach:最終的にはPA-DSSとリストは廃止され、ペイメントアプリケーションはPCI Software Security Frameworkの下で評価されるでしょう。 

2019年後半にPCIソフトウェアセキュリティフレームワーク検証プログラムが開始されると、PA-DSSに現在投資している組織がそれらの投資を引き続き活用できるようにするための段階的な移行期間があります。現在のすべてのPA-DSS検証済みペイメントアプリケーションは、それらのアプリケーションの有効期限(PA-DSS v3.2に対して検証済みのペイメントアプリケーションの場合は2022)に達するまで、引き続きPA-DSSプログラムの下で管理されます。

2020年半ばには、新しいPA-DSS申請の受け入れは終了しますが、現在のペイメントアプリケーションベンダは、PA-DSSの有効期限が切れるまで、既存のPA-DSS検証済みペイメントアプリケーションに変更を送信することができます。2022年にPA-DSS 3.2が期限切れになると、すべてのPA-DSS検証済みペイメントアプリケーションは「既存の展開にのみ許容」リストに移動され、PA-DSSプログラムは廃止されます。その時点で、PA-DSS検証済みペイメントアプリケーションへのさらなる更新は、PCIソフトウェアセキュリティフレームワークの下で評価される必要があります。

PCI SSC発表より引用)※機械翻訳

 

もう1つの見方が、PCI DSSやPA-DSSの初回認定を受けたとしても「維持に失敗する」事業者が多いという事(※下記ベライゾン記事参照)から策定されたと思われる、Secure SLC Standardです。ソフトウェアライフサイクル全体を通して、決済ソフトウェアのセキュリティを適切に維持・管理するという視点で、やはり「非保持」ユーザであっても、あるいはその他のセキュリティフレームワークを採用しているユーザにも、参考になる部分が多いのではないでしょうか。

news.mynavi.jp

 

 

※仕様の中身が解読できたら、また記事を書くかも知れません。

ã¢ãã¤ã«æ±ºæ¸ã®ã¤ã©ã¹ã

更新履歴

  • 2019年1月20日AM(予約投稿)