fjコンサルティング株式会社は4月15日、PCI DSS v4.0公開と移行のスケジュールについて発表した。PCI DSSは、クレジットカードのグローバルのセキュリティ基準。
PCI DSSを定め、運用管理する団体PCI SSCは3月31日に、PCI DSS v4.0を公開し、あわせてSummary of Changes(v3.2.1とv4.0の変更点の概要)、準拠報告書(RoC)テンプレート、加盟店向けおよびサービスプロバイダー向けの準拠証明書(AoC)テンプレートを公開している。PCI SSCによると、3回のRFC(Request for Comment)で、200を超える組織から6,000を超えるフィードバックがあったという。
要件はv3.2.1と変わらず12要件で構成され、変更点としては、前回のメジャーバージョンアップ以降に登場した新技術への対応や、オンラインスキミングやフィッシングなどの新しい攻撃手法への対応が盛り込まれている。また準拠する事業体側が、自らのセキュリティ目標に基づき実装手段を設計できるカスタマイズバリデーションの導入やクラウドサービスを利用した準拠に関する考え方を整理している。
2022年4月から6月にかけ、日本語を含む各国語への翻訳と自己問診票(SAQ)などのサポート文書の公開が予定され、6月からはv3.2.1資格を保有するQSA/ISA向けの移行トレーニングが提供される。v4.0での審査が可能となるのは2022年6月以降の予定。
PCI DSS v3.2.1の有効期間は2024年3月31日で、それまでは移行期間として、v3.2.1とv4.0のどちらでも準拠可能。技術的に移行が困難であったり、準拠のための負担が重い新要件については、ベストプラクティス要件として2025年3月まで準拠が猶予される。
fjコンサルティング株式会社 代表取締役CEO 瀬田 陽介氏は本誌の取材に対して「すでにPCI DSS v3.2.1に準拠済みの「加盟店」「カード会社」「決済代行事業者」は、対象範囲の見直し、新要件に対応するためのシステム実装など、この期限に間に合うように移行しなければらないが、移行期間は潤沢にあるとはいえないため、まずは早期に、v3.2.1とv4.0のギャップ分析に着手し、v4.0に対応するための費用を明らかにしてほしい」と答えた。
また瀬田氏は、もうひとつのクレジットカード業界のプレイヤーである「加盟店契約カード会社(アクワイアラ)」に関しては、自らがv4.0に移行するだけでなく、契約先の決済代行事業者や加盟店の移行についても責任があるため、移行には新規のコストや要員が必要になるため、早めに移行計画を契約先と確認をすることが重要であるとした。
![インシデント報告義務化 世界的傾向/ベラルーシ反露ハッカー「鉄道戦争」/リークサイトから消えたデンソー社名 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/37895.jpg)
