米マサチューセッツ州ウェイクフィールド--(BUSINESS WIRE)--(ビジネスワイヤ) -- PCIセキュリティスタンダードカウンシル(PCI SSC)は本日、PCIデータセキュリティ基準(PCI DSS)のマイナーリビジョンをリリースしました。PCI DSSは、世界中の企業が購入の前後・最中に決済カードデータを保護するために使用しているものです。PCI DSSバージョン3.2.1がバージョン3.2に取って代わり、有効期間と、セキュア・ソケット・レイヤー(SSL)/初期トランスポート・レイヤー・セキュリティ(TLS)の経過した移行期限を説明しています。新要件はPCI DSS v3.2.1に追加されていません。PCI DSS v3.2は2018年12月31日まで有効で、2019年1月1日付で終息します。
PCI SSCのトロイ・リーチ最高技術責任者(CTO)は、次のように述べています。「今回のアップデートの意図は、v3.2で導入されたPCI DSS要件の有効期間に関する混乱や、SSL/初期TLSの移行日に関する混乱を排除することにあります。諸組織がSSL/初期TLSを無効化し、セキュアな代替技術に移行することで、各組織の決済データを保護することが極めて重要です。」
PCI DSS v3.2.1における小幅変更は、有効期間やSSL/TLS移行期限が過ぎた場合に既存要件が受ける影響を反映させることで、諸組織がPCI DSS導入によって6月30日以降にこれら既存要件を満たしている状況について正確に報告できるようにするためのものです。具体的な変更は下記の通りです。
- 適用要件に関する2018年2月1日という有効化の開始日は経過したので、この有効日に言及した但し書きを削除。
- 適用要件と付録A2を更新して、POS POI(販売時点管理の加盟店端末装置)端末とそのサービスプロバイダー接続ポイントだけがSSL/初期TLSをセキュリティー制御のために2018年6月30日後も継続使用できることを反映。
- 多要素認証(MFA)は現在ではすべての非コンソール管理アクセスで求められているので、付録Bの代替コントロール例から削除。ワンタイムパスワードをこのシナリオでの代替コントロール候補として追加。
PCI DSS v3.2.1のアップデートは、v3.2のままとなるペイメントアプリケーションデータセキュリティ基準(PA-DSS)には影響しません。
PCI DSS v3.2.1とv3.2からv3.2.1への変更概要は、PCI SSCウェブサイトのドキュメントライブラリーで提供中です。SSL/初期TLSからの移行に関する補足情報、自己評価問診票(SAQ)、SAQの解説とガイドラインの更新バージョンは、PCI DSS v3.2.1をサポートすべく間もなく公表します。
詳細については、PCIパースペクティブのブログ記事「PCI DSSの現状と今後」(PCI DSS Now and Looking Ahead)でトロイ・リーチ最高技術責任者が担当しているQ&Aをお読みください。
PCIセキュリティスタンダードカウンシルについて
PCIセキュリティスタンダードカウンシル(PCI
SSC)は、企業がサイバー攻撃や侵害を検知、抑制、防止するのに役立つ業界主導型の柔軟で効果的なデータセキュリティ基準およびプログラムを提供することで、決済セキュリティを向上させる世界的で業界横断型の取り組みを主導しています。リンクトインでPCI
SSCと交流してください。ツイッター@PCISSCで対話に参加してください。PCIパースペクティブ・ブログを購読してください。
本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。