2023年4月25日8:00

米国時間の2022年3月31日、PCIセキュリティ・スタンダード・カウンシル(PCI SSC)よりPCI DSS Version 4.0(以下、PCI DSSv4.0)がリリースされた。本稿では、BSIグループジャパン 認証事業本部プロダクトマネージャ PCI SSC認定審査員の柳原俊郎氏に、対応に向けたポイントについて解説してもらった。(「決済セキュリティ2.0」より)

BSI グループジャパン株式会社 認証事業本部 ファイナンスプロダクトマネージャ PCI SSC 認定審査員(QSA, P2PE/3DS Assessor)柳原俊郎氏

v4.0によるPCI DSS審査は、国内・海外で既に開始されていますが、これからv3.2.1からv4.0への移行を検討されている事業体の方々向けに、その対応のポイントを解説します。

v3.2.1が廃止される2024年3月31日まで、あと1年となった現在、鍵となるのは、全要件の約1/4弱を占める64の新要件への対応です。新要件は、適用開始時期(2024年3月31日以降か、2025年3月31日以降か)により、2つに分けられます。2024年度審査に向けた対策、2025年度審査に向けた対策について、それぞれを着実に進めることが、PCI DSS v4.0準拠に向けた対応のポイントとなります。

(1)2024年度の審査に向けた対策

即時適用となる新要件(13要件)への対応

即時適用が求められる新要件は、下記のとおりです。
① 各要件(要件2~11)に関する役割と責任の文書化と割当、周知(要件2.1.2~11.1.2、全事業体が対象)
② PCI DSSのスコープの文書化と年1回のレビュー(要件12.5.2、全事業体が対象)
③ 顧客への、PCI DSSの準拠状況や自社が責任を持つPCI DSS要件に関する情報提供・支援(要件12.9.2、サービスプロバイダのみ)
④ カスタマイズアプローチを使用した場合のターゲットリスク分析(要件12.3.2、該当する事業体が対象)

v4.0で変更された共通事項への対応
(複数の要件に影響が及ぶもの)
 v4.0では、基準書の前半の導入セクションで、以下の共通事項が変更されました。そのため、自社のカード会員データ環境(CDE)の定義の見直しや定期的な実施が求められるPCI DSSに規定されたコントロール(セキュリティテスト等)の自社での運用ルールの見直しなどが必要となります。

●カード会員データ環境(CDE)の定義が一部変更されたこと
 (セクション4:PCI DSS要件の適用範囲)
●時間枠のガイドラインが新たに設けられたこと
 (セクション7:PCI DSS 要件における時間枠の説明)

カード会員データ環境(CDE)の定義の一部変更

スコープの設定は、「PCI DSS 評価に含まれるすべてのシステム・コンポーネント、人、およびプロセスを特定するプロセス」であり、PCI DSSのスコープ(適用範囲)に、(A)「カード会員データ環境(CDE)」及び (B)「CDEのセキュリティに影響を与える可能性のあるシステム・コンポーネント、人、プロセス」を含めることは、v4.0でも変更はありません。ただし、v4.0では、(A)「カード会員データ環境(CDE)」の定義が一部変更され、下記の下線部が追加になりました。

‒カード会員データ(CHD)および/または機密認証データ(SAD)を保存、処理、および送信するシステム・コンポーネント、人員、およびプロセス、および、
CHD/SADを保存、処理、または伝送しないが、CHD/SADを保存、処理、または伝送するシステム・コンポーネントに無制限の接続性を有するシステム・コンポーネント。

下線部の追加は、CHD/SADを保存、処理、または伝送しないシステム・コンポーネントが、CHD/SADの保存、処理、または伝送を行うシステム・コンポーネントに無制限の接続性を有する場合、CHD/SADの漏洩リスクを踏まえ、CDEに含めて、CDE内の他のシステム・コンポーネントと同等の保護策が求められる趣旨と解釈されます(例:CDEへのアクセスに対する多要素認証の実装など)。対象となりうるシステム・コンポーネントには、認証サーバ、リモートアクセスサーバ、ログサーバなどが想定されています(CDEの定義変更が影響する要件は、資料Aをご参照ください)。

資料A:カード会員データ環境(CDE)が関わる管理策を定めた主な要件

時間枠のガイドラインが新たに設けられたこと(毎月、3カ月に1回、6カ月に1回、大幅な変更等)

V4.0では、v3.2.1には存在しなかった、時間枠に関するガイドラインが新たに設けられました。

このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP