2015年4月21日8:55
PCI DSSの運営団体であるPCI SSCは、2015年4月15日付で「PCI DSS Version 3.1」を公開した。NTTデータ先端技術のWebサイトで連載中の「PCI DSS徹底解説」では変更点について紹介している(紹介記事)。
現行のVersion 3.0は2014年1月から開始されているが、Version 3.1は、2014年10月に公表された、「POODLE」の脆弱性などから、Secure Socket Layer(SSL)のすべてのバージョン、およびTransport Layer Security(TLS)の初期のバージョンは、「強力な暗号化技術」とみなすことができないことを反映してのバージョンアップとなったそうだ。SSLと初期のTLSは、2016年6月30日以降、PCI DSS対策としては使用できなくなる。同変更は、PCI DSSの要件2.2.3、2.3、4.1に影響している。
さらに、用語の明確化、誤字の修正、イントロダクションへのガイダンスの追加、および要件の更新に基づくテスト手順の更新と追加などが含まれているそうだ。なお、PCI SSCでは、3.0から3.1への変更点を整理した「PCI DSS Summary of Changes v3.0 to v3.1」も併せて公開している(PCI SSCの関連資料)。
