2018年5月21日10:45
PCIセキュリティスタンダードカウンシル(PCI SSC)は、このほどPCIデータセキュリティ基準(PCI DSS)のマイナーリビジョンをリリースした。PCI DSSは、世界中の企業が決済カードデータを保護するための基準とナル。PCI DSSバージョン3.2.1がバージョン3.2に代わり、有効期間と、セキュア・ソケット・レイヤー(SSL)/初期トランスポート・レイヤー・セキュリティ(TLS)の経過した移行期限を説明している。新要件はPCI DSS v3.2.1に追加されていない。PCI DSS v3.2は2018年12月31日まで有効で、2019年1月1日付で終息する。
PCI DSS v3.2.1における小幅変更は、有効期間やSSL/TLS移行期限が過ぎた場合に既存要件が受ける影響を反映させることで、諸組織がPCI DSS導入によって6月30日以降にこれら既存要件を満たしている状況について正確に報告できるようにするためのものとなる。具体的な変更として、①適用要件に関する2018年2月1日という有効化の開始日は経過したので、この有効日に言及した但し書きを削除、②適用要件と付録A2を更新して、POS POI(販売時点管理の加盟店端末装置)端末とそのサービスプロバイダー接続ポイントだけがSSL/初期TLSをセキュリティー制御のために2018年6月30日後も継続使用できることを反映、③多要素認証(MFA)は現在ではすべての非コンソール管理アクセスで求められているので、付録Bの代替コントロール例から削除。ワンタイムパスワードをこのシナリオでの代替コントロール候補として追加、④PCI DSS v3.2.1のアップデートは、v3.2のままとなるペイメントアプリケーションデータセキュリティ基準(PA-DSS)には影響しない――といったものとなる。
