PCI DSS v3.2 まもなくリリース
2016年2月17日、PCI SSCの公式ブログページ“PCI PERSPECTIVES”において、PCI DSS v3.2 の準備に関する記事[1]が掲載されました。
PCI SSCは2015年12月に公開されたSSLおよび初期のTLSからの移行期限の延長に関する通知[2][3]で、2016年にPCI DSS v3.1が更新される予定であるとしていましたが、本ブログ記事では、PCI SSC CTO の Troy Leach 氏へのインタビューという形式で、v3.2 に関するリリース時期、更新される内容、v3.1の扱いなどについての情報が公開されています。
今回は速報として、いくつかポイントとなる箇所をまとめてみました。
- PCI DSS v3.2 は、2016年の3月または4月をリリース目標としている。
- これまでの3年ごとのメジャーバージョンアップ・ライフサイクル[4]に従うと、次期メジャーバージョン(以下v4.0と仮称)は2016年11月にリリース、2017年1月に有効化の予定であったが、v4.0 のリリースは予定されておらず、v3.2のリリースで代替とする。これは、PCI DSS は今や十分成熟した規格と認識されており、今後はこれまでのメジャーバージョンアップによる大幅な変更は行わず、小規模な変更を重ねていく事が想定されているためである。
-
v3.2 で予定されている変更は以下の通り:
- CDE内での管理者に対する多要素認証の追加(評価中)
- サービスプロバイダに対する要件としてPCI DSS Designated Entities Supplemental Validation (DESV)からいくつか取り込む
- PAN 表示の際のマスキング基準の明確化
- SSL/初期のTLSの移行期限の更新(2015年12月に公表済みの内容)
- v3.2 はリリース後、即時有効化される。v3.1の失効はv3.2リリースの三カ月後となる。これは、既に審査が進行中の組織がv3.1で評価を完了できるようにするための措置である。
- 新しい要件については、いつも通りリリース直後はベストプラクティスとして扱われ、必須となるまでの猶予期間が設定される。
- PA-DSS v3.2も、PCI DSS v3.2リリースの翌月にリリースされる予定。
今後もリリースが近づいたら続報があるとのことですので、追加情報が出た際には本コラムで追って解説したいと思います。
免責事項
- 本文書の転載・加工・再配布はご遠慮ください。
- 本文書を使用することによっていかなる損害が生じようとも、当社は一切責任を負いません。
- 本文書は、PCI Security Standards Council (PCI SSC)によって公開された文書をNTTデータ先端技術株式会社によって解釈、抄訳したものをベースとした当社独自の文書であり、PCI SSC による見解や解釈を正式に示すものではありません。
- 文書の内容に関してPCI SSCへのお問い合わせはご遠慮ください。
お問合せは、以下の連絡先までお願いいたします。
NTTデータ先端技術株式会社
E-mail: pci@intellilink.co.jp TEL: 03-5859-5428
参考リソース
- [1] “Preparing for PCI DSS 3.2: What to Expect in 2016”
http://blog.pcisecuritystandards.org/preparing-for-pci-dss-32
- [2] “Date Change for Migrating from SSL and Early TLS”
http://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tls
- [3] “Bulletin on Migrating from SSL and Early TLS A Resource Guide from the PCI Security Standards Council”
http://cdn2.hubspot.net/hubfs/281302/Migrating_from_SSL_and_Early_TLS_-v12.pdf?t=1450471864004
- [4] 手前味噌ですが、詳しくはPCI DSS徹底解説の記事「基準のライフサイクル変更でどうなるのか?」をご覧ください。
http://www.intellilink.co.jp/column/pcidss/2013/071706
Writer Profile
セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
佐藤 功視(CISSP、QSA)
Tweet