PCI DSS v4がリリースされました。

PCI DSSが3/31に最新バージョンである4.0をリリースしました。

www.pcisecuritystandards.org

W A KE F I EL D、マサチューセッツ州、2022年3月31日—本日、グローバルペイメントセキュリティフォーラムであるPCI Security Standards Council（PCI SSC）は、PCI Data Security Standard（PCI DSS）のバージョン4.0を公開しました。PCI DSSは、アカウントデータを保護するために設計された技術的および運用上の要件のベースラインを提供するグローバルスタンダードです。PCI DSS v4.0は、バージョン3.2.1に代わるものであり、新たな脅威とテクノロジーに対処し、新しい脅威に対抗する革新的な方法を可能にします。更新された標準および変更の概要ドキュメントは、PCISSCWebサイトで入手できます。

組織がバージョン4.0の変更を理解し、必要な更新を実装する時間を提供するために、現在のバージョンのPCI DSS v3.2.1は、2024年3月31日に廃止されるまで、2年間アクティブのままになります。評価者がPCIのトレーニングを完了するとDSS v4.0の場合、組織はPCIDSSv4.0またはPCIDSSv3.2.1のいずれかを評価できます。この標準は、組織が新しい要件の多くを実装するための追加の時間を提供します。実装のタイムラインの詳細については、PCIPerspectivesBlogをご覧ください。

世界の決済業界からのフィードバックにより、標準が変更されました。3年間で、200を超える組織が6,000を超えるフィードバックを提供し、標準が複雑で絶えず変化する決済セキュリティの状況に適合し続けることを保証しました。

「業界は、PCI DSS v4.0の開発に対して前例のない可視性を持ち、その開発に影響を与えてきました」と、PCISSCのエグゼクティブディレクターであるランスジョンソンは述べています。「私たちの利害関係者は、評議会がこのバージョンのPCIデータセキュリティ標準の開発を効果的に進めるのに役立つ、実質的で洞察に満ちた多様な情報を提供しました。」

標準の更新は、決済業界の進化するセキュリティニーズへの対応、継続的なプロセスとしてのセキュリティの促進、セキュリティ目標を達成するためにさまざまな方法を使用する組織の柔軟性の向上、および検証方法と手順の強化に重点を置いています。アップデートの詳細については、 PCISSCWebサイトのPCIDSSv4.0の変更の概要ドキュメントを参照してください。

PCIDSSv4.0での変更の例は次のとおりです。

ファイアウォールの用語をネットワークセキュリティ制御に更新して、ファイアウォールが従来達成していたセキュリティ目標を達成するために使用される幅広いテクノロジをサポートします。

カード会員データ環境へのすべてのアクセスに多要素認証（MFA）を実装するための要件8の拡張。

組織がセキュリティ目標を達成するためにさまざまな方法をどのように使用しているかを示すための柔軟性の向上。

対象となるリスク分析を追加して、ビジネスニーズとリスクエクスポージャーに最適な、特定のアクティビティを実行する頻度をエンティティが柔軟に定義できるようにします。

キタきつねの所感

日本語版も3月末に同時リリースされる”はず”と聞いていたのですが、現時点では英語版のみの公開となっています。

週末に英語資料を少し読んでいたのですが、初感として、まず資料ボリュームが多すぎる・・・と感じます。英語版は360ページあります。新規規定（Evolving requirement）は64項目あり、期限付き（2025/3/31から要件化、それまではベストプラクティス≒推奨）が51項目となっています。

まだ規定を読み込めていませんが、パスワードが７→12桁、全てのCDE（カードデータ環境）への多要素認証の必須化、監査ログレビューの自動化など、特に『期限付き』の新要件は、期限が先である事からも分かる様に、対応に時間がかかるであろう組織は結構多いかと思います。

※もう少し読みこなしが進んだら、別記事を書ければと思います。

概要という意味では、日本語字幕付きでv4のリソースハブにビデオがありますので、（関係する方は）こちらをご覧になってみて下さい。

youtu.be