PCI DSS Version 2.0の発効から半年、続々と準拠企業が登場

2011年6月23日9:22

PCI DSS Version 2.0の発効から半年、続々と準拠企業が登場
代替コントロールの適用が多かった要件3.6はオリジナル要件で対応が可能に

PCI DSSの新バージョンであるVersion 2.0は、2011年1月から有効となった。2011年はVersion2.0に加え、Version1.2の審査も並行して行われているが、アナザーレーンJ-Paymentなど、2011年上期に更新審査を受診した企業はVersion2.0を選択するケースが多い。PCI DSSは年末に審査を行う企業が多い。そのため、今後、更新審査を受診する企業は対応までの準備期間も十分にあることから、2011年はVersion2.0の審査を選択する企業が増えるだろう。

Version 2.0は1.2から、要件自体に大幅な変更はなかった。QSA(認定セキュリティ評価機関)やPCI SSCのメンバーなど、PCI SSCが現場からのフィードバックなどを受け、要件の明確化やベストプラクティスの変化の対応などが行われたため、基準自体の完成度が高まったと言えるだろう。

強化された詳細要件サマリと緩和された詳細要件サマリ(出典:NRIセキュアテクノロジーの「PCI DSS対策セミナー~PCI DSS v2.0の概要解説及び対策のポイント~」の資料より)

基準自体も要件3.2でイシュアに限り、ビジネス上の正当性が認められればオーソリゼーション後のセンシティブ認証データの保持が認められた。また、要件3.6.4では暗号鍵の変更期間が柔軟になった。この部分はVersion1.2の審査まで、代替コントロールを適用するケースが多かったが、オリジナルのコントロールで対応が可能となった。そのほか、QSAからは、システム強化基準のソースへのISOの追加(要件2.2)、不正な無線デバイスの検出方法として、ネットワークアクセスコントロール(NAC)システム、その他の物理的/論理的なシステムコンポーネントのチェックについても選択肢に含まれるようになった要件11.1なども挙がった。

その一方で、要件の明確化や項番構成を含めた変更箇所は100を越えた。例えば、序章「ビジネス設備とコンポーネントのサンプリング」についてはサンプリングの方法を明確化することが求められた。また、要件6.2は新たなセキュリティを特定して、当該のリスクランキングを割り当てることを確認しなければならなくなった。それに伴い、要件6.5では「高」ランクに位置づけられた脆弱性への対応が必要となった。要件8.3では、リモートアクセス時における2因子認証として、知識認証(パスワード等)、所有物認証(トークン等)、本人の特徴による認証(生体認証等)のうち2つを使用することが明確化(要件8.3)された。

全体的に各QSAの見解としては、Version 2.0では、審査時に使用するテスト手順に関して、要求する対象によって明確に分離されるようになったため、基準自体の柔軟性が増し、審査を行いやすくなるという。また、加盟店やサービスプロバイダからの受容性も向上するという意見が多かった。

ただし、スコープの定義や2.0から具体的に明示された仮想化環境、エンドツーエンド暗号化、トークナイゼーション、EMVについては日本カード情報セキュリティ協議会のQSA部会などで話し合う必要があるとしている。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

最強レベルのホワイトハッカーによるペネトレーション試験をお引き受けします。(決済ネットワーク、Webアプリ、決済ターミナル向け)(FIME JAPAN)
【8/26(水)開催】CREPiCO「ペイジー口座振替受付サービス」フィットネス・スポーツ業界向けWebセミナー(セイコーソリューションズ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP