PCI DSS v3.1の公開と変更点の概要
はじめに
PCI SSCは、2015年4月15日付でPCI DSS v3.1を公開しました。本コラムでは、その変更点の概要について解説します。
PCI DSS v3.1における変更内容について
PCI DSS v3.1は、昨年2014年10月に公表された、「POODLE」として知られている脆弱性などから、Secure Socket Layer (SSL)のすべてのバージョン、およびTransport Layer Security (TLS)の初期のバージョン(1.0および一部の1.1の実装)は、PCI SSCの定義する「強力な暗号化技術」とみなすことができず、セキュリティ対策として使用することができなくなったことを反映したものとなっています。この変更は、PCI DSSの要件2.2.3、2.3および4.1に影響しています。
PCI DSS v3.1は、即時発効されているため、今後、オンサイトレビューを受ける場合は、PCI DSS v3.1の下で評価されることになります。ただし、2016年6月30日までは、リスク低減・移行計画を作成することを条件に、移行のための猶予期間が設けられています。
・SSLおよび初期のTLSは、2016年6月30日以降、クレジットカードを保護するセキュリティ対策として使用することはできない。
・2016年6月30日までは、SSLおよびTLSの初期のバージョンを実装したシステムを持つ組織は、リスク低減計画および移行計画を作成することで、適合と認められる。(ASVに提出することで、ASVスキャンレポートも例外として認められる。)リスク低減計画は、別途PCI SSCから公開されている「Information Supplement: Migration from SSL and Early TLS」に沿ったものであることが推奨される。
・新しく実装する場合は、SSLのすべてのバージョン、およびTLSの初期のバージョンを使用してはならない。
・SSLおよび初期のTLSに対する既知のすべての脆弱性に対する攻撃の影響を受けないことが確認できるPOS、POIデバイスは、2016年6月30日以降もセキュリティコントロールとして、これらのプロトコルを使用することができる。
出所:PCI SSC「PCI COUNCIL PUBLISHES REVISION TO PCI DATA SECURITY STANDARD」を元に意訳
さらに、PCI DSS v3.1の変更点には、用語の明確化、誤字の修正、イントロダクションへのガイダンスの追加、および要件の更新に基づくテスト手順の更新と追加などが含まれています。
なお、SAQ、AOC、ROCのテンプレート、用語集などは、別途公開する予定とされています。
また、PCI SSCは、PCI DSS v3.0からの変更点を整理した、「PCI DSS Summary of Changes v3.0 to v3.1」を併せて公開しています。今回公開された文書は英語版のみですが、同書から変更点一覧を抜粋して日本語化したものを公開します。下記の注意点をご確認のうえ、ご利用下さい。
PCI DSS バージョン 3.0 から 3.1 への変更点まとめ(部分翻訳版)
※ご注意
- 本文書の転載・加工・再配布はご遠慮ください。
- 本文書を使用することによっていかなる損害が生じようとも、当社は一切責任を負いません。
- 翻訳版の内容についてPCI SSCへのお問い合わせはご遠慮ください。
お問い合わせは、以下の連絡先までお願いいたします。
NTTデータ先端技術株式会社
E-mail: pci@intellilink.co.jp TEL: 03-5859-5428
変更内容についての解説は、順次公開予定です。
参考リソース
- PCI DSS v3.1発行のプレスリリース
PCI COUNCIL PUBLISHES REVISION TO PCI DATA SECURITY STANDARD (PDF)
- SSLおよび初期のTLSからの移行計画に関する補足資料
Information Supplement: Migrating from SSL and Early TLS (PDF)
Tweet