PCI SSCの最高技術責任者が次期セキュリティ基準「PCI DSS 3.2」のリリース計画や変更点の概要をインタビューで語った。
PCI Security Standards Council(PCI SSC)は、クレジットカード業界のグローバルなデータセキュリティ基準「PCI DSS」(Payment Card Industry Data Security Standard)の次期バージョン「PCI DSS version 3.2」のリリース関して、PCI SSC最高技術責任者のインタビューを公式ブログに掲載、概要を紹介している。
PCI SSCはPCI DSSなどの一連のPCIセキュリティ基準の開発/管理/普及促進などを行っている。2015年4月に発行された現行の「PCI DSS 3.1」では、SSL(Secure Sockets Layer)および初期のTLS(Transport Layer Security)プロトコルが現時点では強力な暗号方式とは考えられないことから、両プロトコルから安全なバージョンのTLS(v1.1以降)への移行期限が2016年6月末に設定された。
だが、PCI SSCは2015年12月に発表した文書で、この移行期限を2018年6月30日まで延長することを明らかにした。さらにその際、この新しい移行期限に加え、セキュリティ脅威やクレジットカード業界の状況変化への対応を盛り込んだPCI DSSの新バージョンを2016年の早い時期に発行することも発表していた。
PCI SSCの最高技術責任者(CTO)を務めるトロイ・リーチ氏は、公式ブログに掲載されたインタビューで、PCI DSS 3.2の発行は2016年前半に予定されており、現在は3〜4月の発行を目標にしていると述べた。発行日が近づいた段階でステークホルダーに知らせるとしている。従来の発行サイクルでは、次期バージョンの発行は2016年第4四半期となるが、2016年に発行されるバージョンはPCI DSS 3.2のみになるという。
リーチ氏によると、PCI SSCはPCI DSS 3.2のために、クレジットカード会員データ環境(CDE)における管理者向けの追加の多要素認証を評価している。さらにPCI DSS 3.2では、サービスプロバイダー向けの「Designated Entities Supplemental Validation(DESV)」基準の一部が取り込まれる他、プライマリーアカウント番号(PAN)の表示時のマスキング基準が明確化され、2015年12月に発表されたSSLおよび初期のTLSからの移行期限に関する情報が追加される。
また、PCI DSSの改訂に伴い、ペイメントアプリケーションデータセキュリティ基準「PA-DSS」(Payment Application Data Security Standard)にも変更が加えられ、PCI DSS 3.2のリリースの翌月に「PA-DSS 3.2」も発行される予定。
これらの新バージョン発行に合わせて変更点をまとめたドキュメントも発表される他、必要に応じてガイダンスやFAQも作成または更新され、トレーニング教材も改訂される。
Copyright © ITmedia, Inc. All Rights Reserved.