PCI DSS V3.2の主な変更点の解説

■PCI DSSV3.2の主な変更点については、関連する最新記事があります。併せてご一読ください。

PCI DSS V3.2における変更点解説（１）要件10.8セキュリティ制御システムの監視と障害への対応
PCI DSS V3.2の変更点（２）要件8.3　管理者アクセスに対する多要素認証の要求
PCI DSS V3.2における変更点解説（3）要件12.11/12.11.1　サービスプロバイダに対する四半期レビューの要求

■最新のPCI DSS準拠に関するお問い合わせや、当社のサービス資料ご希望の方は、下記フォームより承ります。

2016/4/28に発表されたPCI DSS 3.2へのバージョンアップには、3つカテゴリの変更があるが、すでに準拠済み企業に影響の大きい追加のガイダンス及び発展型要件について解説する。またAppendixについては今回大幅に改編されたため、明確化の区分になっているが説明を加えた。なお2016年の秋に予定されていたメジャーバージョンアップは、V3.2の発行によって実施されないことになり、『PCI DSS 要件とセキュリティ評価手順V3.2』にバージョンの終了期限を書き込んでいることから、今までの3年毎のアップデートサイクルは事実上なくなったと解釈している。よって新規バージョンのリリース時期は、不定期になったということになる。
■PCI DSS 3.2 変更の種類

種類の変更	定義
明確化	要件の趣旨を明確化する。標準で簡潔な文で要件の目的とする要求が明確に示されていることを確実にすること。
追加のガイダンス	特定のトピックにおいて、理解を深めるため、またはさらなる情報もしくはガイダンスを提供するための、説明、定義および/または指示
発展型要件	基準を新種の脅威や市場の変化に応じた最新の状態にするための変更

■PCI DSS 3.2 変更点サマリー

セクション	内容
PCI DSSとPA-DSSの関係	追加ガイダンス：セキュリティの脅威は常に進化するため、ベンダーにサポートされていないペイメントアプリケーションは、サポートされているバージョンと同様のレベルでなければ提供できない。
PCI DSSのバージョン	新規セクションで、本PCI DSSのバージョンが以前の有効バージョンに対してどのようなインパクトがあるかを記載した。 PCI DSS 3.1の使用期限：2016年10月30日 PCI DSS 3.2の使用期限：未定
3.3	発展型要件： PANの最初の6桁及び最後の4桁よりも多くの桁数表示するためには、正当なビジネス要件が必要であること。PANの共通のマスキング概要に追加されたガイダンスとなる。
3.5.1	サービスプロバイダのための発展型要件：暗号化アーキテクチャに関する文書化の維持すること。 ※2018年1月31日まではベストプラクティス要件となり、それ以降は要件となる。
6.4.6	発展型要件：変更管理プロセスには、変更に伴う影響についてのPCI DSS要求事項の検証を含めること。 ※2018年1月31日まではベストプラクティス要件となり、それ以降は要件となる。
8.3	発展型要件：すべての従業員のコンソールを利用しない管理者アクセスとリモートアクセスには、多要素認証に対応することを8.3のサブの要求事項として拡張した。
8.3.1	新しい要件：すべての従業員のコンソールを利用しない管理者アクセスには多要素認証に対応すること ※2018年1月31日まではベストプラクティス要件となり、それ以降は要件となる。
8.3.2	新しい要件：すべての従業員のCDEへリモートアクセスには多要素認証を利用すること（旧要件8.3を組み込んだ）
10.8, 10.8.1	サービスプロバイダのため新しい要件：重要なセキュリティコントロールシステムの失敗についてを検知し報告すること。 ※2018年1月31日まではベストプラクティス要件となり、それ以降は要件となる。
11.3.4.1	サービスプロバイダのための新しい要件：セグメンテーション・コントロール、少なくとも半年ごとに侵入テストを実行すること。 ※2018年1月31日まではベストプラクティス要件となり、それ以降は要件となる。
12.4	サービスプロバイダのための新しい要件：サービスプロバイダの経営幹部は、カード会員データの保護とPCI DSS準拠プログラムの責任を負うこと。
12.8.2	追加ガイダンス：サービスプロバイダの責任は、特定のサービスがどのような状態で提供されるかと、二社間の合意内容に依存する。
12.11, 12.11.1	サービスプロバイダのための新しい要件：担当者がセキュリティポリシーと操作手順に従っていることを確認するため、少なくとも四半期レビューをすること。 ※2018年1月31日まではベストプラクティス要件となり、それ以降は要件となる。
Appendix（付録）A1	新しく追加されたAppendix A2とA3を含むための、もともとあった共有ホスティングプロバイダのための追加のPCI DSS要件を再付番した。
Appendix（付録）A２	SSLと初期のTLSに関して新規追加要件：SSLと早期TLS削除に関して移行期限が組み込まれた。・新規実装にはセキュリティ管理としてSSLと早期TLSを使用してはいけない。・既存実装はSSLと早期TLSを使用を2018年6月30日までに完了してセキュアなサービスに移行する。（ただしPOS/POI端末を除く。最後の項目を参照）・2018年6月30日までは、SSLや早期TLSを使用する既存の実装は、正式なリスク低減と移行プランを持たなければならない。・SSLや早期TLSの既知の不正利用の影響を受けにくい状態であるPOS/POI端末は2018年6月30日以降もSSLや早期TLSを使用可能とする。
A2.1	SSLや早期TLSでトランザクションを処理するPOS/POI端末は以下のいずれかを実施する。・デバイスがSSLや早期TLSに対する既知の不正利用の影響を受けにくい状態であることを確認する。・正式なリスク低減と移行プランを立案する。
A2.2	SSLや早期TLSが既に実装されている組織（A2.1以外の）は、正式なリスク低減と移行プランを持たなければならない。なお移行計画の完了は2018年6月30日までとなる。
A2.3	サービスプロバイダのための新しい要件：全てのサービスプロバイダはセキュアなサービス（TLS1.2などの）を2016年6月30日までに開始する。
Appendix（付録）A3	以前補足文書として分割されていた“指定された組織の補足的な検証” (DESV)を新しいAppendix（付録）へ組み込んだ。この付録は、国際ブランドやアクワイアラから指定された組織のみが適用される。例えば以下の通りである。・大量のカード会員データを伝送、処理、保存している組織・カード会員データを集積するポイントを提供する組織・重要または繰り返しのカード会員データの侵害を受けた組織
A3.1	PCI DSS準拠プログラムを導入する。
A3.2	文書とPCI DSSの対象範囲の確認
A3.3	PCI DSSが日常業務活動に組み込まれていることを確認する。
A3.4	カード会員データ環境への論理アクセスを管理、コントロールする。
A3.5	不審な兆候を識別し、対応する。

出典：
Summary of Changes from PCI DSS Version 3.1 to 3.2（April 2016） Requirements and Security Assessment ProceduresVersion 3.2（April 2016）
関連記事：
2015/6/2 2015年4月15日に正式リリースされたPCI DSS Ver3.1の変更点
2014/12/24 PCI DSS Ver3.0　新要件に関する解説② 〜 Ver3.0における準拠事業者とサービスプロバイダの関係〜
2014/10/14 PCI DSS Ver3.0　新要件に関する解説① 〜 Ver3.0による監査〜