PCI DSS Version 2.0の発効から半年、続々と準拠企業が登場

2011年6月23日9:22

PCI DSS Version 2.0の発効から半年、続々と準拠企業が登場
代替コントロールの適用が多かった要件3.6はオリジナル要件で対応が可能に

PCI DSSの新バージョンであるVersion 2.0は、2011年1月から有効となった。2011年はVersion2.0に加え、Version1.2の審査も並行して行われているが、アナザーレーンJ-Paymentなど、2011年上期に更新審査を受診した企業はVersion2.0を選択するケースが多い。PCI DSSは年末に審査を行う企業が多い。そのため、今後、更新審査を受診する企業は対応までの準備期間も十分にあることから、2011年はVersion2.0の審査を選択する企業が増えるだろう。

Version 2.0は1.2から、要件自体に大幅な変更はなかった。QSA(認定セキュリティ評価機関)やPCI SSCのメンバーなど、PCI SSCが現場からのフィードバックなどを受け、要件の明確化やベストプラクティスの変化の対応などが行われたため、基準自体の完成度が高まったと言えるだろう。

強化された詳細要件サマリと緩和された詳細要件サマリ(出典:NRIセキュアテクノロジーの「PCI DSS対策セミナー~PCI DSS v2.0の概要解説及び対策のポイント~」の資料より)

基準自体も要件3.2でイシュアに限り、ビジネス上の正当性が認められればオーソリゼーション後のセンシティブ認証データの保持が認められた。また、要件3.6.4では暗号鍵の変更期間が柔軟になった。この部分はVersion1.2の審査まで、代替コントロールを適用するケースが多かったが、オリジナルのコントロールで対応が可能となった。そのほか、QSAからは、システム強化基準のソースへのISOの追加(要件2.2)、不正な無線デバイスの検出方法として、ネットワークアクセスコントロール(NAC)システム、その他の物理的/論理的なシステムコンポーネントのチェックについても選択肢に含まれるようになった要件11.1なども挙がった。

その一方で、要件の明確化や項番構成を含めた変更箇所は100を越えた。例えば、序章「ビジネス設備とコンポーネントのサンプリング」についてはサンプリングの方法を明確化することが求められた。また、要件6.2は新たなセキュリティを特定して、当該のリスクランキングを割り当てることを確認しなければならなくなった。それに伴い、要件6.5では「高」ランクに位置づけられた脆弱性への対応が必要となった。要件8.3では、リモートアクセス時における2因子認証として、知識認証(パスワード等)、所有物認証(トークン等)、本人の特徴による認証(生体認証等)のうち2つを使用することが明確化(要件8.3)された。

全体的に各QSAの見解としては、Version 2.0では、審査時に使用するテスト手順に関して、要求する対象によって明確に分離されるようになったため、基準自体の柔軟性が増し、審査を行いやすくなるという。また、加盟店やサービスプロバイダからの受容性も向上するという意見が多かった。

ただし、スコープの定義や2.0から具体的に明示された仮想化環境、エンドツーエンド暗号化、トークナイゼーション、EMVについては日本カード情報セキュリティ協議会のQSA部会などで話し合う必要があるとしている。

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP