今年2Q にリリース予定でしたPCI DSSv4が、4Qのリリース予定に変更となりました。
blog.pcisecuritystandards.org
業界からのフィードバックは、PCIデータセキュリティ標準(PCI DSS)の進化の基本です。PCI DSSは決済コミュニティに幅広い影響を与えるため、評議会はPCI DSSv4.0検証ドキュメントへの追加のフィードバックを求めています。これらの補足文書を含めるように利害関係者のフィードバックの機会を拡大した結果、評議会は現在、PCI DSSv4.0の2021年第4四半期の完了日を目標としています。PCI DSSv4.0の公開と可用性はまだ決定中です。評議会は、今後数か月以内に発行予定日を通知します。
評議会は、v4.0コンプライアンスレポート(ROC)テンプレート、自己問診(SAQ)、およびコンプライアンス証明書(AOC)検証ドキュメントのドラフトに関するRFCを開催します。RFCは2021年6月に計画されています。RFCへの参加方法の詳細は、今後数か月にわたって提供されます。
新しいタイムラインには、PCI DSS v3.2.1からv4.0への移行をサポートするための移行期間が引き続き含まれ、エンティティが新しい将来の日付の要件を満たすことができるようにするための時間も提供されることに注意することが重要です。
(PCI Perspectivesブログ記事より引用)※機械翻訳
キタきつねの所感
8年ぶりの大型改訂となるPCI DSS v4 は今年2Q(4月~6月)にリリース予定でしたが、4Q(10月~12月)のリリース予定と変更になった事がPCISSCのブログに出ていました。
この変更に伴う詳細スケジュールは今後ブログで公開されるとの事ですが、全体的にスライドすると考えられますので、過去のブログ記事の情報を元に考えると、現在の所のv4移行スケジュールは以下の形になると予想されます。
※今後PCI SSCからの正式発表によって変更となる可能性もあります。
この半年間のスケジュールの後ろ倒しは、 PCI DSS v4のサポートドキュメントに関するRFC(Request for Comments)が新たに追加された事による影響の様です。
サポートドキュメントとは、コンプライアンスレポート(ROC:審査人が使う適合報告書)、自己問診票(SAQ:自社でPCI DSS適合をチェック・報告するシート)、コンプライアンス証明書(AOC:準拠証明書)を指しますが、元々の予定ではPCI DSSv4がリリースされてから(半年程度で)出される予定でしたが、v4が大型の改訂になると予想されている事から、その影響を考えて、ステークホルダーに意見を再度聞く事をPCI SSCは選択したと推測されます。
v4は既にドラフト版が2回、関係者向けに公開(RFC)されていますが、正式リリースまでにドラフトはもう出ないとされています。
そんな中で、第2回RFCを受けての規定修正についてのPCI SSCの「考え方」がこのサポートドキュメント案を読むと(一部)浮かび上がってくるのではないかと思います。
※現在のROCには審査ポイントが一部含まれているので、この辺りにヒントがある気がします。
スケジュールを見ていて残念に思うのが、毎年9月に開催される今年のPCIコミュニティミーティング(北米)は、正式リリースされた内容を受けて討議されない可能性が高いという事です。
過去にラスベガスで開催されたミーティングに参加した事がありますが、2000人を超える参加者の熱気に圧倒された記憶があります。コロナ禍を受けて今年もバーチャル開催の可能性もありそうですが、例年通りの開催予定だと、北米や欧州のコミュニティミーティングが、去年に引き続き「v4が出そう」という内容でのコンテンツが多くなるであろう事は少し残念な気がします。
今後、また改訂されたタイムラインが正式発表されるとは思いますが、受審側の組織は、リリース延期=審査が楽なると考えるのではなく、v4の規定内容が濃いものになりそうだと考えた方が良いかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
