2010年12月16日7:00
NRIセキュアテクノロジーズは12月14日、「PCI DSS対策セミナー~PCI DSS v2.0の概要解説及び対策のポイント~」と題したセミナーを行った。同セミナーのセッション1ではは10月28日に発表されたPCI DSS Version2.0の変更点及び対策ポイントについてNRIセキュアテクノロジーズ マネジメントコンサルティング部 セキュリティコンサルタント 小川 恭幸氏が講演した。
同氏はまず、PCI DSSのバージョンアップサイクルはこれまでの2年間から3年ごとに変更されたことを説明(図1)。旧バージョンのVersion1.2.1は2011年12月31日に無効化され、2011年1月1日に新バージョンのVersion2.0が発効されると説明した(図2)。
詳細要件の改訂概要のポイントについては、基準自体の明確化、要件に関する具体的な解釈の追加、脅威の変化に対応するための基準が一部追加されたが、内容的に大きな変化はないという(図3)。
次にVersion2.0への移行で強化された部分(図4)、緩和された部分を要件ごとに説明(図5)。
同氏は最後にPCI DSS準拠ステップについて解説(図6)。特にスコープの決定の際にカード会員情報を処理、伝送、保存するフローを明確にする必要性があると強調した。