omniture

ペイメントの未来を安全に: PCI SSC はPCIデータセキュリティ規準v4.0を発行します

PCI Security Standards Council
2022-04-01 00:14 1855

— ペイメントデータの安全のためにグローバルな業界フィードバックが基準を形づくります—

ウェイクフィールド, マサチューセッツ州, 2022年3月31日 /PRNewswire/ -- 本日, グローバルなペイメントセキュリティフォーラムであるPCIセキュリティスタンダードカウンシル(PCI SSC)はPCI データセキュリティ規準 (PCI DSS)のバージョン4.0(以下「v4.0」)を発行しました。 PCI DSSはアカウントデータを保護するために設計されたテクニカルそしてオペレーショナルな要件のベースラインを 提供するグローバルな基準です。PCI DSSv4.0 は最新のテクノロジーと脅威に対応し、新たな脅威に対抗するための革新的な手法を可能とするために現行のバージョン 3.2.1 (以下「v3.2.1」)から置き換わります。改訂された基準書と「変更点の概要」は PCI SSC website から入手できます。

PCI DSS v4.0 is Now Live
PCI DSS v4.0 is Now Live

v4.0での変更点を理解し、必要な改訂作業を実行するための時間を事業体に提供するために、現行の PCI DSS v3.2.1は2024年3月31日に引退するまで2年間有効性が維持されます。 評価者はPCI DSS v4.0でのトレーニングを完了すると、事業体はPCI DSS v4.0またはPCI DSSv3.2.1のいずれかで評価を受けることができます。さらに基準の多くの新要件を実行するために事業体に追加の時間を提供します。実行へのタイムラインに関するより詳細な情報は PCI Perspectives Blog から見ることができます。

グローバルなペイメント業界からのフィードバックが基準の変更を促進します。過去3年間にわたり、この基準が複雑かつ刻々と変化するペイメントセキュリティの様相に対応し続けることを確実にするため、200以上の事業体から6,000件以上のフィードバックが提供されました。 

「業界が前例のない視界の中に入り、PCI DSS v4.0開発への影響を及ぼしています。」PCI SSCエグゼクティブディレクター、Lance Johnsonは述べています。「私たちのステークホルダーはPCI SSCがPCIデータセキュリティ基準のこのバージョンの開発を効果的に進める手助けとなる実質的で知見に富んだ多様なインプットを提供してくれました。」

この基準の改訂ではペイメント業界のニーズに応えること、継続的なプロセスとしてセキュリティを推進すること、セキュリティの目的を達成するための異なる手法を使う事業体のために柔軟性を向上させること、そしてバリデーションの手法と手続きを強化することにフォーカスしています。改訂項目に関する詳細はPCI DSS v4.0変更点の概要 PCI SSC website で確認することができます。

PCI DSS v4.0による変更点の事例として下記の項目が含まれます。

  • 旧来ファイアウォールなどによって対応されてきたセキュリティの目的を達成するために使われてきた広範なテクノロジーをサポートするためにファイアウォールの用語をネットワークセキュリティコントロールに置き換えました。 
  • 要件8において多要素認証(MFA)の適用範囲をすべてのカード会員データ環境へのアクセスに拡張しました。
  • セキュリティの目的を達成するために、異なる手法をどのように使っているかを示す事業体への柔軟性を向上させました。
  • 各事業体が自社に適したビジネスの必要性とリスクエクスポージャーから対応の頻度を定義してゆく柔軟性を許容するターゲットリスク分析の手法を追加しました。

基準の鍵となる変更点についてPCI SSC担当者の議論をビデオ収録しておりますのでご覧ください: "First Look at PCI DSS v4.0"

「PCI DSS v4.0 は日本のステークホルダーが最新の脅威とリスクに対応するために最高レベルのペイメントセキュリティを維持するだけでなく、PCIDSS要件をより柔軟な手法で達成することを可能にしています。」とPCIセキュリティ・スタンダード・カウンシルアソシエイトダイレクター–日本の井原亮二氏は述べています。「日本のステークホルダーをご支援するために発行されるPCI DSS v4.0 の日本語翻訳版は日本国内の認定評価機関(QSA)コミュニティの協力による共同作業の一例です。新型コロナウィルス問題が沈静化し、来る2025年の大阪万博において多くの外国人観光客を迎えるために、PCI DSS v4.0はより安全なカード決済環境を構築するため行政と業界に貢献できるでしょう。」

PCI DSS v4.0に期待することと評価者トレーニングについて PCI SSC 担当者の議論を Podcastに収録しておりますのでお聴きください: Coffee with The Council: A Preview of the PCI DSS v4.0 and Transition Training 

基準書の改訂に加えサポート文書が PCI SSC Document Library に発行、公開されています。これには「PCI DSS v3.2.1 からv4.0への変更概要」「v4.0 Report on Compliance (ROC) テンプレート」、「 ROC Attestations of Compliance (AOC)」そして「ROC Frequently Asked Questions」「Self-Assessment Questionnaires (SAQs) 」はこの後数週間で発行されます。 

PCI DSS のグローバルな適用をサポートするために, 基準書と変更概要はいくつかの言語に翻訳されま す。これらは2022年3月~6月にかけて発行されていきます。

PCI SSC は年間を通じ、コミュニティが基準の変更点への理解を支援するために追加情報を提供してまいります。この中には2022年6月21日にPCI SSCコミュニティメンバー向けに提供されるオンラインイベント「PCI DSSシンポジウム」PCI DSS Symposium があります。評価者向けトレーニングは6月に利用可能になります。評価者トレーニングセッションの詳細については PCI SSC training resource page をご確認ください。    

PCI DSS v4.0 の変更点についての概要は "PCI DSS v4.0 At a Glance" をご覧ください   

事業体のPCI DSS v4.0への移行をナビゲートするために設計された追加的なリソースには podcasts, ビデオそしてブログ Subscribe to the PCI Perspectives Blog  などがあります。

PCIセキュリティスタンダードカウンシルについて

PCIセキュリティスタンダードカウンシル PCI Security Standards Council (PCI SSC) はビジネスがサイバー攻撃とデータ侵害を検知、緩和そして防止を支援する業界主導で柔軟、効果的なデータセキュリティ基準とプログラムを提供することにより、ペイメントセキュリティを向上させるためのグローバルで業界を超えた活動です。PCI SSCへのLinkedInでの接続は LinkedIn. Twitterでの会話への参加は @PCISSC. ブログの購読は PCI Perspectives Blog.

写真- https://mma.prnasia.com/media2/1777827/PCI_DSS.jpg?p=medium600

 

ソース: PCI Security Standards Council