- 2024年3月29日
- 社員日記
PCI DSS v3.2.1からv4.0への変更点について
PCI DSS v4.0の文書の一つとして、v3.2.1からv4.0の変更点をまとめた「PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes」という文書が提供されています。その内容をまとめた表を掲載しますので参照下さい。この表はSummary-of-Changesの中で、新規追加/変更のみを抽出し、かつ、複数の要件で重複している内容を1つの項目にまとめており合計63項目です。v3.2.1からv4.0に移行を検討している事業者は少なくともこの63の要件の内、事業者に適用される要件について対応する必要があります。一番右の列の「対応期限」欄には、「すべてのv4.0アセスメントに即時適用されます」と「2025年3月31日まではベストプラクティスです」と二つがあります。これらは新規追加/変更の中で追加された要件に対して付記されている内容です。「すべてのv4.0アセスメントに即時適用されます」は初回のv4.0審査までに対応が完了する必要がある要件です。一方、「2025年3月31日まではベストプラクティスです」は、2025年3月31日までは猶予されている要件です。v4.0対応を進めている事業者は、まず「すべてのv4.0アセスメントに即時適用されます」と記載された要件を次回の審査までに対応する必要があります。「2025年3月31日まではベストプラクティスです」の要件は、対応できるものから対応し、2025年3月31日までに対応を完了するようスケジュールすることが可能です。
次回はこれらの新規追加/変更の中で事業者へのインパクトが強い要件を説明したいと思います。
| V4.0要件番号 | 変更点 | 変更の種類 | 対応期限 |
|---|---|---|---|
| 1.1.2, 2.1.2, 3.1.2, 4.1.2, 5.1.2, 6.1.2, 7.1.2, 8.1.2, 9.1.2, 10.1.2, 11.1.2 | 新規:役割と責任に関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、すべてのv4.0アセスメントに即時適用されます。 |
| 3.2.1 | 新規:データ保持および廃棄の方針、手順、およびプロセスの実施を通して、オーソリゼーション完了前に保存されました機密認証データ(SAD)に対処するための新しい要件の箇条書きを追加しました。 | 新規追加/変更 | この箇条書きは、2025年3月31日まではベストプラクティスです。 |
| 3.3.2 | 新規:オーソリゼーションが完了する前に電子的に保管される機密認証データ(SAD)を暗号化するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 3.4.1 | 業務上必要な担当者のみがPANのBIN/下4桁以上を確認できるよう、PANを表示する際にマスキングすることを明確化しました。 | 新規追加/変更 | |
| 3.4.2 | 新規:リモートアクセス技術を使用する場合、PANのコピーおよび/または再配置を防止するための技術的なコントロールに関する新しい要件を追加しました。旧要件12.3.10から拡張されたものです。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 3.5.1 | PANを読み取り不能にする手法の「インデックストークンおよびパッド」の箇条書きから、「パッド」を削除しました。 | 新規追加/変更 | |
| 3.5.1.1 | 新規:ハッシュを使用してPANを読み取り不能にする場合の、鍵付き暗号ハッシュに関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 3.5.1.2 | 新規:ディスクレベルまたはパーティションレベルの暗号化は、リムーバブル電子メディア上のPANを読み取り不能にするためにのみ使用されるか、リムーバブルでない電子メディアで使用する場合は、要件3.5.1を満たすメカニズムでPANも読み取り不能にするという新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 3.6.1.1 | 新規:サービスプロバイダのみ、暗号アーキテクチャの文書化された記述に、本番環境とテスト環境で同一の暗号鍵を使用しないことを含めることを新しい要件の箇条書きを追加しました。 | 新規追加/変更 | この箇条は、2025年3月31日まではベストプラクティスです。 |
| 4.2.1 | 新規:オープンな公共ネットワークでのPAN送信に使用される証明書が有効であり、期限切れまたは失効していないことを確認するための新しい要件の箇条書きを追加しました。 | 新規追加/変更 | この箇条は、2025年3月31日まではベストプラクティスです。 |
| 4.2.1.1 | 新規:信頼できる鍵および証明書のインベントリを維持するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 5.2.3.1 | 新規:マルウェアのリスクがないシステムコンポーネントの定期的な評価の頻度を、事業体のターゲットリスク分析で定義する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 5.3.2.1 | 新規:事業体のターゲットリスク分析において、定期的なマルウェアスキャンを行う頻度を定義する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 5.3.3 | 新規:リムーバブル電子メディア用マルウェアソリューションの新要件。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 5.4.1 | 新規:フィッシング攻撃を検知し、担当者を保護するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 6.1.2 | 新規:役割と責任に関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、すべてのv4.0アセスメントに即時適用されます。 |
| 6.3.2 | 新規:特注ソフトウェアおよびカスタムソフトウェアのインベントリを維持するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 6.3.3 | リリース後1ヶ月以内にインストールする適用可能なセキュリティパッチを、”重要なセキュリティパッチ”から”重要または高セキュリティのパッチ/アップデート”に変更しました。 | 新規追加/変更 | |
| 6.4.2 | 新規:公開用ウェブアプリケーションに対して、ウェブベースの攻撃を継続的に検出し、防止する自動化された技術的ソリューションを展開するための新しい要件を追加しました。この新しい要件では、手動または自動のアプリケーション脆弱性評価ツールまたは方法によってWebアプリケーションをレビューするという要件6.4.1のオプションが削除されます。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 6.4.3 | 新規:消費者のブラウザに読み込まれ、実行されるすべての決済ページスクリプトの管理に関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 7.2.4 | 新規:すべてのユーザアカウントと関連するアクセス権限のレビューに関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 7.2.5 | 新規:すべてのアプリケーションとシステムアカウント、および関連するアクセス権の割り当てと管理に関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 7.2.5.1 | 新規:アプリケーションおよびシステムアカウントによるすべてのアクセス、および関連するアクセス権限のレビューに関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 8.2.2 | 要件のフォーカスを変更し、共有認証クレデンシャルの使用を許可するが、例外的にのみ使用できるようにしました。 | 新規追加/変更 | |
| 8.3.4 | ユーザIDをロックアウトするまでの無効な認証の試行回数を6回から10回に増やしました。 | 新規追加/変更 | |
| 8.3.6 | 新規:パスワードの長さを最低7文字から最低12文字(システムが12文字に対応していない場合は最低8文字)に増やすという新しい要件を追加しました。 2025年3月31日までは、v3.2.1の要件8.2.3に従って、パスワードは最低7文字でなければならないことを明確にしました。 要件8.3.1を満たす認証要素としてパスワード/パスフレーズを使用する場合のみ、この要件が適用されることを明確にしました。 この要件は、単一の取引を促進するために一度に1つのカード番号のみにアクセスできるPOS端末のユーザアカウントに適用することを意図していない旨の注記を追加しました。 |
新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 8.3.9 | 90日に1回以上パスワード/パスフレーズを変更する代わりに、アカウントのセキュリティ状態を動的に分析し、リソースへのアクセスを自動的に決定するオプションを追加しました。 | 新規追加/変更 | |
| 8.3.10.1 | 新規(サービスプロバイダのみ):パスワード/パスフレーズが顧客ユーザアクセスの唯一の認証要素である場合、パスワード/パスフレーズは少なくとも90日に1回変更されるか、アカウントのセキュリティ状態を動的に分析することによってリソースへのアクセスが自動的に決定されることを記載しました。 この要件は、ペイメントカード情報にアクセスする消費者ユーザのアカウントには適用されないという注釈を追加しました。 本要件は、要件8.3.10が発効された時点で要件8.3.10よりも優先され、それまではサービスプロバイダは要件8.3.10または8.3.10.1のいずれかを満たすことができることを追記しました。 |
新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 8.4.2 | 新規:カード会員データ環境(CDE)へのすべてのアクセスに多要素認証(MFA)を実装する新しい要件を追加しました。
要件8.4.2および8.4.3で指定された両方のタイプのアクセスにMFAが必要であること、および1つのタイプのアクセスにMFAを適用しても、他のタイプのアクセスにMFAの別のインスタンスを適用する必要性に代わるものではないことを明確にするための注記が追加されました。 |
新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 8.5.1 | 新規:多要素認証システムの安全な実装に関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 8.6.1 | 新規:対話型ログインに使用できるシステムまたはアプリケーションアカウントの管理に関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 8.6.2 | 新規:対話型ログインに使用できるアプリケーションおよびシステムアカウントについて、パスワード/パスフレーズをファイルまたはスクリプトにハードコーディングしてはならない新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 8.6.3 | 新規:アプリケーションおよびシステムアカウントのパスワード/パスフレーズを悪用されないように保護するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 9.5.1.2.1 | 新規:事業体のターゲットリスク分析に基づき、定期的なPOI端末の検査頻度を定義するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 10.4.1.1 | 新規:監査ログレビューの実行に自動化されたメカニズムを使用するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 10.4.2.1 | 新規:その他のすべてのシステムコンポーネント(要件10.4.1で定義されていない)に対する定期的なログレビューの頻度を定義するために、ターゲットリスク分析に関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 10.7.2 | 新規:すべての事業体に対して、重要なセキュリティ管理システムの障害を検知し、警告し、迅速に対処するための新しい要件を追加しました。
この新しい要件は、すべての事業体に適用されます。サービスプロバイダに対する要件10.7.1には含まれていない、2つの追加の重要なセキュリティコントロールが含まれます。 |
新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 10.7.3 | 新規:重要なセキュリティ管理で障害が発生した場合、迅速に対応するための新しい要件を追加しました。 サービスプロバイダ向け:これは現行のPCI DSSv3.2.1要件です。 その他のすべての事業体(サービスプロバイダ以外):これは新しい要件です。 |
新規追加/変更 | この要件は、2025年3月31日まではベストプラクティス(非サービスプロバイダ向け)です。 |
| 11.3.1.1 | 新規:内部の脆弱性スキャンで発見されたその他の該当する脆弱性(高リスクまたは重要としてランク付けされていないもの)をすべて管理するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 11.3.1.2 | 新規:認証スキャンによって内部脆弱性スキャンを実行するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 11.4.7 | マルチテナントサービスプロバイダが外部からの侵入テストのために顧客をサポートするための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 11.5.1.1 | 新規(サービスプロバイダ向け):サービスプロバイダが、侵入検知または侵入防止技術を使用して、マルウェアの秘密の通信経路を検知し、警告/防止し、対処するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 11.6.1 | 新規:消費者ブラウザが受信した決済ページのHTTPヘッダとコンテンツに対する不正な変更を警告する、変更と改ざんの検出メカニズムを導入するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 12.1.3 | 担当者が自身の責任を正式に認識していることに関する内容を追加しました。 | 新規追加/変更 | |
| 12.3.1 | 新規:実行頻度に柔軟性を持たせるPCI DSS要件に対して、ターゲットリスク分析を実行するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 12.3.2 | 新規(カスタマイズアプローチを使用する事業体向け):カスタマイズアプローチを使用する事業体が、カスタマイズアプローチで満たす各PCI DSS要件についてターゲットリスク分析を実行するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、v4.0評価を受けているすべての事業体で、カスタマイズアプローチを使用している場合に即時発効します。 |
| 12.3.3 | 新規:少なくとも12カ月に一度、使用中の暗号スイートとプロトコルを文書化し、レビューするための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 12.3.4 | 新規:少なくとも12カ月に一度、使用中のハードウェアとソフトウェア技術を見直すための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 12.5.2 | 新規:少なくとも12カ月ごとに、また適用範囲の環境に大幅な変更があった場合に、PCI DSSの範囲を文書化し確認するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、すべてのv4.0アセスメントに即時適用されます。 |
| 12.5.2.1 | 新規(サービスプロバイダ向け):少なくとも6カ月に1回と、適用範囲の環境に大きな変更があった場合に、PCI DSS範囲を文書化して確認するためのサービスプロバイダ向けの新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 12.5.3 | 新規(サービスプロバイダ向け):事業体構成の大幅な変更に伴うPCI DSSの範囲およびコントロールの適用性への影響の文書化されたレビューに関するサービスプロバイダ向けの新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 12.6.2 | 少なくとも12カ月に一度、セキュリティ啓発プログラムを見直し、(必要に応じて)更新するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 12.6.3.1 | 新規:カード会員データ環境(CDE)のセキュリティに影響を与える可能性のある脅威や脆弱性についての認識を含む、セキュリティ啓発トレーニングの新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 12.6.3.2 | 新規:要件12.2.1に従って、エンドユーザ・テクノロジの許容可能な使用に関する認識を含めるためのセキュリティ啓発トレーニングの新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 12.9.2 | 新規(サービスプロバイダ向け):要件12.8.4および12.8.5を満たすために、顧客からの情報要求をサポートするためのサービスプロバイダ向けの新しい要件を追加しました。 | 新規追加/変更 | この要件は、すべてのv4.0アセスメントに即時適用されます。 |
| 12.10.4.1 | 新規:インシデント対応担当者の定期的な訓練の頻度を定義するために、ターゲットリスク分析を行う新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| 12.10.5 | 要件を統合し、インシデント対応計画の一部として監視および対応すべきセキュリティ監視システムを次のように更新しました。 •不正な無線アクセスポイントの検出(旧11.1.2) •重要ファイルの変更検出メカニズム(旧11.5.1) •(新規項目)決済ページの変更および改ざん検知メカニズムの使用に関する新しい要件項目(新しい要件11.6.1に関連する) |
新規追加/変更 | この箇条書きは、2025年3月31日まではベストプラクティスです。 |
| 12.10.7 | 新規:想定外の場所で保存されたPANが検出された場合のインシデント対応手順を定め、開始されるための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| A1.1.1 | 新規:プロバイダ環境と顧客環境の論理的分離を実装するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| A1.1.4 | 顧客環境を分離するために使用される論理的分離コントロールの有効性を、侵入テストを通じて確認するための新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| A1.2.3 | 新規:疑わしいまたは確認されたセキュリティインシデントおよび脆弱性を報告し、対処するためのプロセスおよび仕組みの導入に関する新しい要件を追加しました。 | 新規追加/変更 | この要件は、2025年3月31日まではベストプラクティスです。 |
| A3.2.1 | PCI DSS要件12.5.2と整合させるために、PCI DSS範囲の文書化と確認に含まれる要素を更新しました。 | 新規追加/変更 | |
| A3.3.1 | 自動ログレビュー機構の障害を検出し、警告し、報告するための新しい要件の箇条書き。 自動化されたコードレビューツールの障害を検出し、警告し、報告するための新しい要件の箇条書きを追加しました。 |
新規追加/変更 | これらの箇条書きは、2025年3月31日まではベストプラクティスです。 |
