PCI DSSオンサイトレビュー（監査）2014年は、Ver3.0 or 2.0どちらで受ける？

PCI DSS Ver.3.0 の適用開始

2014年1月1日からPCI DSSの新バージョンである3.0の適用が開始となった。旧バージョン2.0のリリース時（2010年10月）に取り決めたとおり、発行された新バージョンは3年間使用されることになる。また準拠済み企業のバージョン移行の経過措置として、旧バージョン2.0の使用期限は、2014年12月31までとなっている。すなわち適用開始初年度である2014年は、いずれのバージョンでも年次オンサイトレビュー（監査）を受けることが可能となる。

ただし、2013年11月に発行されたPCI DSS Ver3.0は、現時点（2014年2月）では、こなれていないといえる。英語版にも連番のミスなどがある他、日本語版も今回は英語版と同時発行となったため、記述された解釈に迷うところも多い。（前回日本語版は、約2ヶ月経過してからリリースされている。）

2014年のいつ監査を受けるか「時期」がポイントに

2014年の1～3月にPCI DSS年次オンサイトレビュー（監査）を受ける企業にとっては、追加された要件の対応の時間がほとんどない。また旧バージョンから変更がなかった要件も、審査機関（QSA=Qualified Security Assessor）側の確認のテスト手順が、より細分化されているため、コンプライアンス状況を今までより厳格に証明しなければならない。よって一般的には、2014年の前半に監査をうける企業はVer2.0を使用するという判断がリーズナブルかもしれない。
またVer3.0からQSAが提出する監査報告書（ROC）も完全にテンプレート化されている。今まではQSAは一定のレポート要件を満たせば、個社毎にROCのフォーマットは自由であったが、新バージョンでは全てのQSAが同一のフォーマットで記載することになる。しかし、このテンプレートも2014年2月に発行されたばかりであり、PCI SSCのWebサイトには、まだ日本語版のROCテンプレートは存在していない（2014年2月現在）。直近のVer3.0監査では英語版でROCを作成するか、監査するQSAがテンプレート含め日本語化するしか方法はない。

一方で2014年にVer2.0で受ける場合も問題がある。年の前半で年次監査を受ける企業は、その翌年の監査も同じ時期となるが、Ver2.0の使用期限は2014年12月31日までとなるため、翌年の1月1日から監査実施時期までは有効なバージョンの準拠状況がQSAによって確認されていない状態となる。このような事態を避けるためには、2014年12月31日までにVer2.0とVer3.0の差分についての監査を受ける、もしくは2014年の年次監査をVer3.0で受ける必要がある。（ただしQSAによって実施方法が異なるため、詳細は契約するQSAに確認してください。）

監査を受ける企業が、いつ実施するかにもよるが、2014年のPCI DSSオンサイト監査については2つの選択肢を充分に吟味した上検討して欲しい。

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス