PCI DSS Ver 4.0公開と移行のスケジュール

PCI DSS Ver 4.0公開

2022年3月31日、PCI DSS v4.0が公開された。同時に、Summary of Changes（v3.2.1とv4.0の変更点の概要）、準拠報告書（RoC）テンプレート、加盟店向けおよびサービスプロバイダー向けの準拠証明書（AoC）テンプレートが公開された。

9年ぶりのメジャーバージョンアップとなるため、多様なステークホルダーの意見を取り入れるべく慎重な検討が進められた。PCI SSCによれば、3回のRFC（Request for Comment）で、200を超える組織から6,000を超えるフィードバックが寄せられたという。

 

バージョン4.0の主な変更点とは？

要件はv3.2.1と変わらず12要件で構成されている。変更点としては、前回のメジャーバージョンアップ以降に登場した新技術への対応や、オンラインスキミングやフィッシングなどの新しい攻撃手法への対応が多分に取り込まれている。また準拠する事業体側が、自らのセキュリティ目標に基づき実装手段を設計できるカスタマイズバリデーションの導入やクラウドサービスを利用した準拠に関する考え方が整理された。

 

バージョン4.0の審査が可能となるのは？

今後4月から6月にかけ、日本語も含む各国語へ翻訳と自己問診票（SAQ）などのサポート文書の公開が予定されている。6月からは、v3.2.1資格を保有するQSA/ISA向けの移行トレーニングが提供される。v4.0での審査が可能となるのは2022年6月以降の予定だ。

 

PCI DSS v3.2.1の有効期間はいつまで？

PCI DSS v3.2.1の有効期間は2024年3月31日と定められた。それまでは移行期間として、v3.2.1とv4.0のどちらでも準拠が可能となる。技術的に移行が難しかったり、準拠のための負担が重い新要件については、ベストプラクティス要件として2025年3月まで準拠が猶予される。

 

PCI DSS v4.0への移行スケジュール 概要図

（執筆：ｆｊコンサルティング（株）代表取締役CEO 瀬田　陽介 ）

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス