« 小島プレス工業 システム停止事案調査報告書(第1報) | Main | 四病協 病院のサイバーセキュリティ対策への公的補助金の支給について(緊急提言) »

2022.04.01

PCI Data Security Standard v4.0

こんにちは、丸山満彦です。

PCI Security Standards Council: PCI SSC が、PCI Data Security Standard: PCI DSS v4.0を公開していますね。。。原稿のV3.2.1は2年後の2024.03.31に廃止されますね。。。

PCI SCC

・2022.03.31 (press) Securing the Future of Payments: PCI SSC Publishes PCI Data Security Standard v4.0

変更点については、

Examples of the changes in PCI DSS v4.0 include: PCI DSS v4.0の変更点の例としては、以下が挙げられます。
Updated firewall terminology to network security controls to support a broader range of technologies used to meet the security objectives traditionally met by firewalls. ファイアウォールの用語をネットワークセキュリティ制御に更新し、従来ファイアウォールによって満たされていたセキュリティ目標を満たすために使用される、より幅広い技術のサポート。
Expansion of Requirement 8 to implement multi-factor authentication (MFA) for all access into the cardholder data environment. カード会員データ環境へのすべてのアクセスに多要素認証(MFA)を実装するための要件 8 の拡張。
Increased flexibility for organizations to demonstrate how they are using different methods to achieve security objectives. セキュリティ目標を達成するために、組織がさまざまな方法を使用していることを実証するための柔軟性の向上。
Addition of targeted risk analyses to allow entities the flexibility to define how frequently they perform certain activities, as best suited for their business needs and risk exposure. ターゲットリスク分析の追加により、事業者がビジネスニーズと影響を受けるリスクに最適な形で、特定の活動の実行頻度を柔軟に定義できるようにすること。

ということのようです。。。

 

で基準は...

・[PDF] Payment Card Industry Data Security Standard - Requirements and Testing Procedures Version 4.0 March 2022

20220401-165202_20220401165301

 

360ページありますね(^^)...

目次...

1 Introduction and PCI Data Security Standard Overview
2 PCI DSS Applicability Information
3 Relationship between PCI DSS and PCI SSC Software Standards
4 Scope of PCI DSS Requirements
5 Best Practices for Implementing PCI DSS into Business-as-Usual Processes
6 For Assessors: Sampling for PCI DSS Assessments
7 Description of Timeframes Used in PCI DSS Requirements
8 Approaches for Implementing and Validating PCI DSS
9 Protecting Information About an Entity’s Security Posture
10 Testing Methods for PCI DSS Requirements
11 Instructions and Content for Report on Compliance
12 PCI DSS Assessment Process
13 Additional References
14 PCI DSS Versions
15 Detailed PCI DSS Requirements and Testing Procedures
Build and Maintain a Secure Network and Systems
Requirement 1: Install and Maintain Network Security Controls
Requirement 2: Apply Secure Configurations to All System Components
Protect Account Data
Requirement 3: Protect Stored Account Data
Requirement 4: Protect Cardholder Data with Strong Cryptography During Transmission Over Open, Public Networks
Maintain a Vulnerability Management Program
Requirement 5: Protect All Systems and Networks from Malicious Software
Requirement 6: Develop and Maintain Secure Systems and Software
Implement Strong Access Control Measures
Requirement 7: Restrict Access to System Components and Cardholder Data by Business Need to Know
Requirement 8: Identify Users and Authenticate Access to System Components
Requirement 9: Restrict Physical Access to Cardholder Data
Regularly Monitor and Test Networks
Requirement 10: Log and Monitor All Access to System Components and Cardholder Data
Requirement 11: Test Security of Systems and Networks Regularly4
Maintain an Information Security Policy
Requirement 12: Support Information Security with Organizational Policies and Programs
Appendix A Additional PCI DSS Requirements
Appendix A1: Additional PCI DSS Requirements for Multi-Tenant Service Providers
Appendix A2: Additional PCI DSS Requirements for Entities Using SSL/Early TLS for Card-Present POS POI Terminal Connections
Appendix A3: Designated Entities Supplemental Validation (DESV)
Appendix B Compensating Controls
Appendix C Compensating Controls Worksheet
Appendix D Customized Approach
Appendix E Sample Templates to Support Customized Approach
Appendix F Leveraging the PCI Software Security Framework to Support Requirement 6
Appendix G PCI DSS Glossary of Terms, Abbreviations, and Acronyms

 

 

概要

・[PDF] PCI DSS v4.0 At a Glance

20220401-172530

 

変更点

・[PDF] Summary of Changes from PCI DSS Version 3.2.1 to 4.0

説明

PCI DSS v4.0: A Conversation with the Council

 


 

PCIについては、最近書いてませんでしたね。。。

でも、色々と本質的なことを書いていますね。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2010.10.30 PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0

・2009.10.13 JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)を公開

・2008.06.06 「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について

・2006.08.13 対策強度×保証強度

・2005.06.27 米国カード情報流出と情報セキュリティ監査

・2005.04.27 ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け

・2006.07.05 クレジットカード業界のセキュリティ

 

|

« 小島プレス工業 システム停止事案調査報告書(第1報) | Main | 四病協 病院のサイバーセキュリティ対策への公的補助金の支給について(緊急提言) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 小島プレス工業 システム停止事案調査報告書(第1報) | Main | 四病協 病院のサイバーセキュリティ対策への公的補助金の支給について(緊急提言) »