2016年4月28日に正式リリースされたPCI DSS Ver3.2の変更点については、
最新記事を参照してください。
(2016/5/18追記)
PCI DSS Ver3.1が2015年4月15日にリリース
以下、2015年4月15日に正式リリースされたPCI DSS Ver3.1の変更点サマリ版である。
Ver3.1へのバージョンアップには、3つカテゴリの変更がある。
種類の変更 |
定義 |
明確化 |
要件の趣旨を明確化する。標準で簡潔な文で要件の目的とする要求が明確に示されていることを確実にすること。 |
追加のガイダンス |
特定のトピックにおいて、理解を深めるため、またはさらなる情報もしくはガイダンスを提供するための、説明、 定義および/または指示 |
発展型要件 |
基準を新種の脅威や市場の変化に応じた最新の状態にするための変更 |
今回のバージョンアップにおける発展型要件において、主に取り扱われているのはSSL v3.0やTLS v1.0の使用禁止措置となる。
2014年10月にSSL v3.0に関する脆弱性(CVE-2014-3566:通称Poodle)が報告されており、この問題に対応するためのものである。
なおこれらの問題への対応は、影響範囲が広範囲に渡ることが予想されているため、2016年6月30日までに移行計画を策定及び実行し、それ以降には通常のPCI DSS要件として必須となる。
PCI DSS要件 内容
変更対象となるPCI DSS要件は以下の通り。
要件番号 |
変更点 |
2.2.3 |
安全でないとみなされている必要なサービス、プロトコル、またはデーモンにセキュリティ機能を実装する(たとえば、SSH、S-FTP、TLS、またはIPSec VPN などの安全なテクノロジを使用して、NetBIOS、ファイル共有、Telnet、FTP などの安全性の低いサービスを保護する。 |
2.3 |
強力な暗号化を使用して、すべてのコンソール以外の管理アクセスを暗号化する。Webベースの管理など非コンソール管理アクセスについては、SSH、VPN、またはTLSなどのテクノロジを使用します。 |
4.1 |
オープンな公共ネットワーク経由で機密性の高いカード会員データを伝送する場合、以下のような、強力な暗号化とセキュリティプロトコル(TLS、IPSEC、SSH など)を使用して保護する。(信頼できるキーと証明書のみを受け入れる、使用されているプロトコルが、安全なバージョンまたは構成のみをサポートしている、暗号化の強度が使用中の暗号化方式に適している |
上記要件にはいずれにも、下記の通り共通の注記が記載されている。
1.SSLや早期バージョンのTLSには強力な暗号化が考慮されていないため、2016年6月30日以降はセキュリティコントロールとして
使用することができない。
2.それ以前の場合でもSSLや早期のTLSの既存実装は、正式なリスク軽減策や移行計画を持たなければならない。
3.新規実装はSSLや早期バージョンのTLSを使用することができない。
4.SSLや早期バージョンのTLSの既知の悪用から影響の受けにくいとされているPOSやクレジットカードターミナルは、
2016年6月30日以降もSSLや早期バージョンのTLSをセキュリティコントロールとして使用継続することが可能。
なお、移行対象のTLSのバージョンはV1.2もしくはV1.1(NIST SP 800-52 rev 1で認められた暗号セットのみ)となる。
関連ドキュメント
・
Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures/Version
3.1/April 2015
・
Migrating from SSL and Early TLS(Version 1.0/Date: April 2015/Author: PCI Security Standards Council)
・
NIST Special Publication 800-52 Revision 1(Guidelines for the Selection, Configuration, and Use of Transport
Layer Security (TLS) Implementations)