INFIの中止は、コミュニティメンバーにとってメリットよりも課題を感じることや、INFIの使用方法に誤解があること、意図されていない目的での使用の可能性などを理由として挙げています。SSC公式ドキュメントライブラリにあったINFIのテンプレートは、削除されました。
公式INFIが中止されたことにより、評価中に特定した軽微な不備について是正措置を実施したか、要件を継続的に満たす為のプロセスを備えているかなどの検証が消失する訳ではありません。当社では、v3.2.1と同様の報告書などを使用して、違反事項や改善事項の対応状況を確認していきます。

v4.0から要求事項となった「ターゲットリスク分析（TRA）」について、策定に悩む組織は多いようです。「どのように策定すれば良いのか」「他社はどれくらいの頻度で設定しているか」といった声が良く寄せられます。英語版になりますが本ガイダンスでTRAの要求事項を整理し、FAQやテンプレートが多少なりとも参考になればと思います。

従来のA～D、P2PEタイプに加えて、新たに「SpoC」タイプが追加されました。SSC検証済セキュアカードリーダ搭載の市販のモバイルデバイス向けですので、日本国内では、まだ利用される組織は少ないと思います。

今のところ英語版のみですが、SAQv4.0で対応する事業体様は、公式ガイドラインにはぜひ一度目を通す事を推奨します。

v4.0が発行された当初のROCにありました「In Place with Remediation」は、ROCとは分けてワークシートで対応するとして、短期間で廃止となりました。そのワークシートに該当すると思います。監査におけるQSAからの指摘事項などの報告書の様式は、現在各社に委ねられていますが、今後v4.0監査においてはこのワークシートに準じると思います。

当社は、本テンプレートを使用する運用に早々に切り替えていく予定です。
お客様におきましては、ご理解とご協力のほど、どうぞよろしくお願いします。

銀聯カードがPCI SSCの6ブランド目となりました。
入国水際対策も緩和され、銀聯カードのトランザクションも増えると容易に推測されます。
現状、銀聯カードについてもPCI DSS適用範囲で処理されているとは思いますが、適用範囲に漏れが発生しないよう、データフローの見直しをお願いします。

v4.0では、今まで実施していたことに対して更なる対応が必要になるものや、要件の考え方が厳格になったものがあります。
特に下記の件は、大きなインパクトがあるかもしれません。
・ディスク暗号化
・多要素認証
・システムアカウント管理

これら主要な変更点を当社のウェビナーやweb等々で詳しく解説していきたいと思います。

監査の基本はオンサイト監査ですが、PCI DSSではリモートワークの個人宅にオンサイト監査を行う事はありません。
事業体の責任において在宅環境で適用可能なPCI DSS 管理策が導入されていること、関連のポリシーおよび手順を実施する必要があります。
対応している状況については、可能な限り各種証跡を利用し確認します。

PCI DSS v4.0のリリースが2021年4Q(2021/10~12)に延期されました。

弊社でもドラフト版に対する意見をおくりましたが、メジャーバージョンアップであり、新しい要件も多く世界中から多くのコメント寄せられ調整に手間取っているのかなと思います。（コロナ禍の影響もあると思いますが）
多くの時間を掛け、良い基準になってくれると期待しています。
もう、延長はしないでほしいですね。

VISAのページによると、BINの桁数8桁に移行は2022年4月ビジネスリリースとあります。
PCI SSCのFAQ（上記参照）には、BIN桁数が増えることを前提にしたマスク方法が記載されているので、やっと来たかという感覚です。
ペイメントアプリケーションやホストなどでBINの桁数を固定にしている組織は、システム改修に相当のインパクトがあると思います。

引き続き2020年を振り返り、今年新たに注目を浴びているセキュリティ脅威と、あわせて関連するPCI DSSの要件を紹介します。

-ランサムDDoS（DDoS脅迫）　
DDoS攻撃の中止と引き換えに金銭を要求する攻撃です。DDoSは新たな脅威ではありませんが、依然として被害にあう事例が絶えず、被害は深刻です。
地方銀行、オンライン決済サービス事業者、金融関連サービス、旅行代理店、eコマースなどが標的となっており、サービスが停止することでビジネスに大きな影響が及ぶ事業者が狙われています。近年ではIoT機器が踏み台となるケースが増えています。
DDoS攻撃対策ツールの導入や、定期的な脆弱性検査やパッチ適用、IoT機器含めアプリケーション、デバイスの更新で常にセキュリティの強度を高め、リスクの低減化に努めることが推奨されます。

-テレワーク等のニューノーマルな働き方を狙った攻撃
テレワーク・リモートワークは、セキュリティ対策が施されているオフィス環境と異なり、リモートアクセス環境は様々なパターンが想定されます。私物のPCか会社からの貸与か、自宅から会社の通信はVPNを利用しているか、外部インターネット接続を含め全通信がVPN経由か等々、環境により脅威も多様化します。個々の説明は別の機会にするとして、いずれのパターンに共通していえる基本的な対策を述べたいと思います。
・テレワーク・リモートワークにおいても安全なセキュリティポリシーを整備すること。
・使用しているPCは常に最新のパッチを適用し、脆弱性を突かれないようにすること。
・セキュリティ教育を徹底すること。

PCI DSSはクレジットカード情報を守るセキュリティ基準になりますが、リモートアクセス含め社の機密情報を守るセキュリティ対策としても活用できる、体系的で定量的な基準になります。対策、運用や技術面の参考にしてください。

要件1.4リモートで使用するPCのセキュリティ対策
要件5.2アンチウイルス更新と定期スキャン
要件6.1、6.2セキュリティ脆弱性の把握とパッチ対策
要件8.3 多要素認証、8.4パスワードの保護
要件11.2、11.3 脆弱性スキャン、ペネトレーションテスト
要件12..3　PC未使用時のセッション自動切断、PCに重要情報を保存しないなど
要件12.6　セキュリティポリシー教育

少し前から、銀聯カードのPCI SSCメンバー入りについては噂がありましたが、やっと参加したというところですかね。
今では、日本国内どこでも銀聯カードが利用できますので、当然といえば当然ですね。
現状、PCI DSS準拠システム範囲に銀聯カードに関するシステムがある場合が多いので、影響は少ないかもしれませんが、今一度、銀聯カードのデータフローの見直しをお願いします。

PCI DSS v4.0へのバージョンアップはPCI DSS v3.0が2013年11月にリリースして以来ですので実に約8年ぶりのメジャーバージョンアップになります。
基本的に変わらないセキュリティ規格が、8年間も大幅な変更なく運用されてきたことは、昨今の情報セキュリティ事情を考えると驚異的なことだと思います。それだけ、PCI DSSは網羅的に情報セキュリティがカバーされた洗練されたものであると言えます。
今回のv4.0ではさらに現在のトレンドを意識したものとなっています。
詳細をお伝えしたいのですが、NDAが厳しく記載することができません。
しかし、今まで以上に厳しく、現在のシステムや運用の見直しは必須だと思われます。
正式リリースは2021年2Qが予定されています。
その時点では、大々的に皆さんに変更点や注意点をお伝えできるよう規格を読み込み、理解を深めておきたいと思います。