数ヶ月前にPCI DSSバージョン4.0.1がリリースされました。また準拠証明書のテンプレートが先日リリースされました。このバージョンは「限定版」とされていますが、重要な変更点がいくつか含まれています。

最も重要な変更の一つは、適用範囲の決定に関するものです。PCI DSS要件が適用されるエンティティの範囲は、4.0では3.2.1よりも明確に規定されています。要約すると、バージョン4.0のセクション4では、PCI DSS要件は次のいずれかに該当するシステムコンポーネント、人物、またはプロセスに適用されるとされています。

「アカウントデータ（カード会員データおよび機密認証データを含む）を保存、処理、または伝送するシステムコンポーネント、あるいはカード会員データを保存、処理、または伝送するシステムコンポーネントに無制限に接続できるもの」。

これらを総称して、カード会員データ環境（CDE）と定義しています。さらに、4.0ではPCI DSS要件が「CDEのセキュリティに影響を与える可能性があるシステムコンポーネント、人物、またはプロセス」にも適用されることが明示されています。この変更は、以前のバージョン3.2.1での要件の書き方に対する合理的な明確化です。「接続されている」という表現が何を意味するのかが明確になり、CDEを参照する前にCDEを定義する必要がなくなりました。

しかし、4.0.1では、適用範囲の定義が変更されており、これが評価に大きな影響を与える可能性があります。CDEの定義は同じですが、3番目の要素が「CDEのセキュリティに影響を与える可能性があるシステムコンポーネント、人物、またはプロセス」から「カード会員データおよび機密認証データのセキュリティに影響を与える可能性があるシステムコンポーネント、人物、またはプロセス」に変更されました。CDEのセキュリティに影響を与える可能性があるものと、カード会員データおよび機密認証データのセキュリティに影響を与える可能性があるものとの間には、大きな違いがあります。

例を挙げて説明します。最初の例はDNSです。カード会員データをインターネット経由で受け取る際、ウェブサイト上やAPI経由のいずれであっても、データを送信するクライアントは、宛先URIで指定されたホストをIPアドレスに解決するためにDNSを利用します。DNS基盤（権限のあるゾーンレコードを保持する貴社のDNSサーバーおよびドメインレジストラ）は、CDEのセキュリティに本質的に影響を与えることはできないため、バージョン4.0の適用範囲定義に基づくPCI DSS要件の対象にはなりません。しかし、DNS基盤に対する攻撃によって、クライアントからの支払いが別のAPIエンドポイントにリダイレクトされたり、攻撃者が貴社のウェブサイトになりすますことが可能になるかもしれません。DNS基盤への攻撃は、「カード会員データおよび機密認証データのセキュリティに影響を与える可能性がある」と考えられます。4.0.1の適用範囲定義では、DNS基盤はPCI DSS要件の対象となるのでしょうか？

別の例を挙げましょう。あなたが企業のマーケティング担当者であり、あなたの企業のホームページやECサイトでGoogle Tag Manager（GTM）などを、顧客からカード会員データを収集するサードパーティのJavaScriptを利用した決済ページに組み込んだとします。ウェブページにはセグメント化や分離が行われておらず、ページに組み込まれたJavaScriptは、そのページに表示されたり入力されたあらゆるデータにアクセス可能です。これには、決済カードデータを収集するフィールドも含まれます。4.0の適用範囲定義では、GTMは、PCI DSS要件の適用範囲外です。なぜなら、GTMはカード会員データを保存、処理、または伝送せず、CDEのセキュリティに影響を与えないと考えられるからです（このリスクを管理するための新しい個別要件6.4.3および11.6.1があります）。しかし、4.0.1の適用範囲定義では、GTMやマーケティング部門、ブラウザに読み込まれたJavaScriptが「カード会員データおよび機密認証データのセキュリティに影響を与える可能性がある」とみなされる可能性があります。同様に、GTMやマーケティング部門は、すべての適用要件の対象範囲内になるでしょうか？

4.0の定義に基づいて適用範囲の決定を行った場合、その内容を再確認し、審査までに審査員に相談することをお勧めします。