PCI DSS v3.2 まもなくリリース

2016年2月17日、PCI SSCの公式ブログページ“PCI PERSPECTIVES”において、PCI DSS v3.2 の準備に関する記事[1]が掲載されました。
PCI SSCは2015年12月に公開されたSSLおよび初期のTLSからの移行期限の延長に関する通知[2][3]で、2016年にPCI DSS v3.1が更新される予定であるとしていましたが、本ブログ記事では、PCI SSC CTO の Troy Leach 氏へのインタビューという形式で、v3.2 に関するリリース時期、更新される内容、v3.1の扱いなどについての情報が公開されています。

今回は速報として、いくつかポイントとなる箇所をまとめてみました。

  • PCI DSS v3.2 は、2016年の3月または4月をリリース目標としている。
  • これまでの3年ごとのメジャーバージョンアップ・ライフサイクル[4]に従うと、次期メジャーバージョン(以下v4.0と仮称)は2016年11月にリリース、2017年1月に有効化の予定であったが、v4.0 のリリースは予定されておらず、v3.2のリリースで代替とする。これは、PCI DSS は今や十分成熟した規格と認識されており、今後はこれまでのメジャーバージョンアップによる大幅な変更は行わず、小規模な変更を重ねていく事が想定されているためである。
  • v3.2 で予定されている変更は以下の通り:
    • CDE内での管理者に対する多要素認証の追加(評価中)
    • サービスプロバイダに対する要件としてPCI DSS Designated Entities Supplemental Validation (DESV)からいくつか取り込む
    • PAN 表示の際のマスキング基準の明確化
    • SSL/初期のTLSの移行期限の更新(2015年12月に公表済みの内容)
  • v3.2 はリリース後、即時有効化される。v3.1の失効はv3.2リリースの三カ月後となる。これは、既に審査が進行中の組織がv3.1で評価を完了できるようにするための措置である。
  • 新しい要件については、いつも通りリリース直後はベストプラクティスとして扱われ、必須となるまでの猶予期間が設定される。
  • PA-DSS v3.2も、PCI DSS v3.2リリースの翌月にリリースされる予定。

今後もリリースが近づいたら続報があるとのことですので、追加情報が出た際には本コラムで追って解説したいと思います。

免責事項

  • 本文書の転載・加工・再配布はご遠慮ください。
  • 本文書を使用することによっていかなる損害が生じようとも、当社は一切責任を負いません。
  • 本文書は、PCI Security Standards Council (PCI SSC)によって公開された文書をNTTデータ先端技術株式会社によって解釈、抄訳したものをベースとした当社独自の文書であり、PCI SSC による見解や解釈を正式に示すものではありません。
  • 文書の内容に関してPCI SSCへのお問い合わせはご遠慮ください。
    お問合せは、以下の連絡先までお願いいたします。
    NTTデータ先端技術株式会社
    E-mail: pci@intellilink.co.jp  TEL: 03-5859-5428

参考リソース

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
佐藤 功視(CISSP、QSA)


PCI DSS v3.2 まもなくリリース