PCI SSCから、認証と暗号化に関する新しいガイダンスが公開されました。

この新しい認証ガイダンスは、2017年に公開された多要素認証（MFA）ガイドを刷新したもので、単一要素認証と多要素認証について、実装の考慮点や具体的なガイダンスとして内容が拡大しています。

また、暗号化ガイダンスでは、より強力な暗号化を導入するための方法が解説されています。

どちらも、ぜひ参考にしてください。

多要素認証（MFA）における単一要素（SFA）要件の対象範囲 については、当社のHP「監査Tips!」でも解説しています。
上記リンク「～解説～多要素認証（MFA）における単一要素（SFA）要件の対象範囲 【要件 8.3.9/8.3.10.1】」をご参照ください。

PCI SSCから自己問診（SAQ）v4.0.1の日本語版が公開されました。
SAQ Aについては、注意が必要です。
現在公開されているものは、下記の記事（https://www.icms.co.jp/column/pcidss.html#001196）で取り上げた【改定1】バージョンです。
※「2025年4月1日以降に有効」となっており、現時点では適用されません。
2025年3月末日まで適用されるSAQ A v4.0.1を確認するには、「v4.0.1 Jan.2025」をプルダウンし、「v4.0.1 Oct.2024」を選択してください。ただし、日本語版は提供されていません。
したがって、現在有効なSAQ A v4.0.1の日本語版は存在せず、2025年4月1日以降に適用される【改定1】のみが日本語版として公開されています。
少々混乱しますので、SSCには報告しました。目に付きやすいところに有効期間の注意文が掲示されると良いですね。

SAQ A支払いページのセキュリティに関する要件6.4.3および11.6.1、12.3.1が削除されたSAQ A revision1が公開されました。
併せてSAQの冒頭にある「Completing the Self-Assessment Questionnaire」（自己問診の記入法）で加盟店が確認する事として
以下が追記されています。
The merchant has confirmed that their site is not susceptible to attacks from scripts that could affect the merchant’s e-commerce system(s).

このSAQ v4.0.1 revision1は今年4月1日以降、適用が可能です。3月31日までは、このrevision1は適用されません。

上記ソースにあるPCI SSCのブログの日本語訳を、参考までに下記に載せます。※公式ではないので、ご留意ください。

Important Updates Announced for Merchants Validating to Self-Assessment Questionnaire A ------------------------
PCIデータセキュリティ基準（PCI DSS）v4.0.1の新しい電子商取引セキュリティ要件6.4.3および11.6.1の実装に関する利害関係者からのフィードバックを受けて、PCIセキュリティ基準協議会（PCI SSC）は、加盟店向け自己問診（SAQ）Aに基づいて検証を行う重要な改訂を発表しました。

SAQ Aは、アカウントデータ機能が完全にPCI DSS準拠の第三者に委託されている加盟店に適用され、加盟店はアカウントデータを含む紙の報告書または領収書を保持するのみです。SAQ Aに該当する加盟店は、電子商取引加盟店または郵送/電話注文（（card-not-present）加盟店であり、アカウントデータを電子形式で保存、処理、送信することはありません。

業界の利害関係者からの意見を詳細に検討した結果、PCI SSCはSAQ Aに関して以下の更新を行うことを決定しました。
・支払いページのセキュリティに関するPCI DSS要件6.4.3および11.6.1、および要件11.6.1をサポートするためのターゲットリスク分析を求める要件12.3.1の削除
・加盟店が「自社のサイトが、加盟店の電子商取引システムに影響を与える可能性のあるスクリプトによる攻撃に対して脆弱でないことを確認する」ための適格基準の追加

現在、当社のウェブサイトには2つのSAQ Aバージョンが掲載されています。一つは2024年10月に公開されたもので、もう一つは2025年1月に公開された新しいバージョンです。2024年10月に公開されたSAQ Aバージョンは、2025年3月31日に廃止されます。2025年1月に公開されたSAQ Aバージョンは現在レビュー用に利用可能ですが、2025年3月31日まで有効にはなりません。（この日は、新バージョンPCI DSS v4.0.1の要件が適用開始となる日でもあります）。

PCI DSS v4.0.1の要件6.4.3、11.6.1、および12.3.1は、2025年3月31日より適用されます。これらのSAQ Aへの変更は、加盟店がこれらの要件に対するコンプライアンス報告のアプローチに影響を与えることになりますが、重要なのは、これらがPCI DSS内の基本的な要件を削除したり、軽減したりするものではないという点です。SAQ Aは、セキュリティニーズと合理的なセキュリティ要件のバランスを保ちつつ、コンプライアンスを強制する組織に対して選択肢と柔軟性を提供し続けます。

PCI SSCは、いかなる組織に対してもコンプライアンス要件を定義したり、コンプライアンス検証の責任を設定したりすることはありません。PCI SSCは、コンプライアンス検証を円滑に進めるために使用できるツールを提供しています。コンプライアンス検証要件は、ブランド、取得業者、支払い処理業者などによって設定されており、これらは一般的に「コンプライアンス強制機関」と呼ばれます。組織は、PCI DSSコンプライアンス検証要件や適用可能な検証ツールについて質問がある場合、必ず自社のコンプライアンス強制機関に相談する必要があります。

これらの進展は、PCI基準および支援プログラム資料の策定と改良において、私たちの利害関係者コミュニティが果たす重要な役割を強調しています。これらの変更に至った協力的なプロセスは、PCI SSCコミュニティの参加組織であることの利点を示しています。基準の今後の開発に貢献したい、または参加組織になる方法について詳しく知りたい組織は、当社のウェブサイトにて追加情報をご覧いただけます。

SAQ A Documentはこちら
https://www.pcisecuritystandards.org/document_library/

PCI SSCが主催する2024年のCommunity Meeting（ボストン、バルセロナ、そして当社がブース参加したハノイ）で開催されたセッションの動画が視聴可能になりました。
これらの動画では、決済業界の脅威と対策、AIや最新テクノロジーなど、ペイメントデータセキュリティに関する世界の最新トレンドをキャッチできます。
以前は有料コンテンツでしたが、現在は無料で誰でも視聴可能に！貴重な情報が手軽に得られるこの機会をぜひ活用し、積極的に情報収集を進めてみてください。
こうした取り組みは、ありがたいですね！

2017年に発行されたGuidance for PCI DSS Scoping and Segmentationはオンプレを主とした内容ですが、本書はマルチクラウド環境など近年の多様化する環境において、CDE（アカウントデータ環境）およびPCI DSSの適用範囲について、明確化したガイダンスとなります。
委託先を含め準拠事業者は、自社のCDEと適用範囲について理解を深め、より正確なレビューの助けになると思います。（要件12.5.2：PCI DSS準拠対象範囲の見直し（年に一度、SPは2025年4月より半年毎））

上記ソースにあるPCI SSCのブログの日本語訳を、参考までに下記に載せます。※公式ではないので、ご留意ください。

New Information Supplement: PCI DSS Scoping and Segmentation Guidance for Modern Network Architectures ------------------------
PCI セキュリティ基準審議会（PCI SSC）は、新しい情報補足を発表しました： PCI DSS Scoping and Segmentation Guidance for Modern Network Architectures（最新ネットワークアーキテクチャのための PCI DSS スコープおよびセグメンテーションガイダンス）」です。  この文書は 2023 Special Interest Group（SIG）によって作成されました。SIG のメンバーは、さまざまな最新ネットワークアーキテ クチャで PCI DSS のスコープとセグメンテーションの手法を適用するためのベストプラクティス、ガイダンス、および実社会のシナリオに関 して、ペイメントセキュリティに関する広範な専門知識と技術的知識を提供しました。  

クラウドサービスやゼロトラストネットワークをサポートするために開発されたものを含む最新のネットワークアーキテ クチャの採用は、ペイメントエコシステムにおいてより一般的になってきています。現在では、従来のネットワークアーキテクチャに加えて、マルチクラウド環境を含むハイブリッドのカード会員データ環境（CDE）のセットアップが一般的になっています。組織は、この新しいテクノロジが従来の PCI DSS のスコープおよびセグメンテーションの実践に与える影響について理解し、対処しようとしています。この文書では、このようなシナリオで考慮すべきベストプラクティスに関するガイダンスを下記に示します。
 
-ゼロトラストアーキテクチャが PCI DSS の適用範囲とネットワークセグメンテーションに与える影響の判断
-マイクロセグメンテーションおよびマルチクラウドの実装における PCI DSS 範囲の境界の定義 
-クラウドでホストされるマイクロサービスおよびシステムの刹那的な性質を考慮して、PCI DSS 資産目録をどのように作成および維持するか
-最新のシステム構成の複雑性を考慮した、最新のネットワークアーキテクチャの実装に関連するリスクの特定
-スコープおよびセグメンテーション管理の検証に関する PCI DSS 要件のガイダンス

*注：このガイダンスは、加盟店、サービスプロバイダ、および評価者が使用することを目的としており、PCI DSS の適用範囲を定義し、最新のネットワークアーキテクチャでセグメンテーションプラクティスを適用する際に役立つ背景知識、実用的なガイダンス、および実践的な例を提供します。 このガイダンスは補足的なものであり、PCI 規格に取って代わるものではありません。

ガイダンスはこちら(上記Document Libraryのリンク)でお読みください。 

このガイダンスは、 PCI SSC SIG から生まれたものです。このトピックは、PCI SSC の SIG 選挙プロセスの一環として PCI SSC 参加組織によって提案され、選出されました。SIG は、PCI セキュリティ基準に関連する決済セキュリティの課題に焦点を当てた、コミュニティ主導のイニシアティブです。SIG は、業界代表者、主題専門家、PCI SSC、および参加ペイメントブランド間の連携を促進し、実用的なペイメントセキュリティリソースの開発を可能にします。 
------------------------------------------------------------------------

PCI SSCからPCI DSS バージョン4.0.1と変更サマリの日本語版とROCテンプレートが公開されました。
PCI DSS v4.0 は 2024 年 12月31日に廃止、その後v4.0.1のみが有効なバージョンとなります。v4.0.1は、要件の変更はありませんが、“適用に関する注意事項”“ガイダンス”に重要事項が追加されていますので、必ず一読してください。

今回の改訂は、誤植や書式の訂正などがメインであり、要件そのものに追加、削除は無いとのことです。ブログが分かりやすいので、変更サマリと一読すると要点を掴めると思います。イシュアの方は、3.5.1.2 Applicability Noteの箇所に注意をひくと思います。

ブログに紹介されたFAQの一部を紹介します。
※要約であり、当翻訳は公式ではありませんので、ご了承ください。
・v4.0のリタイア時期は？
→PCI DSS v4.0 は 2024 年 12月31日に廃止、その後v4.0.1のみが有効なバージョンとなります。

・PCI DSS v4.0.1 では、新要件の発効日である 2025 年 3 月 31 日は変更になりますか？
→いいえ、変更になりません。この限定的な改訂は、新要件の発効日に影響を与えるものではありません。

・PCI DSS v4.0.1 に新しい要件はありますか?
→いいえ。これは限定的な改訂であるため、新しい要件や削除された要件はありません。

・PCI DSS v4.0.1 Report on Compliance (ROC) テンプレートと Attestations of Compliance (AOC)、および自己評価アンケート (SAQ) はいつ公開されますか?
→第 3 四半期に発行される予定です。その後、優先的アプローチツールなどの更新された PCI DSS サポートドキュメントが発行される予定です。

INFIの中止は、コミュニティメンバーにとってメリットよりも課題を感じることや、INFIの使用方法に誤解があること、意図されていない目的での使用の可能性などを理由として挙げています。SSC公式ドキュメントライブラリにあったINFIのテンプレートは、削除されました。
公式INFIが中止されたことにより、評価中に特定した軽微な不備について是正措置を実施したか、要件を継続的に満たす為のプロセスを備えているかなどの検証が消失する訳ではありません。当社では、v3.2.1と同様の報告書などを使用して、違反事項や改善事項の対応状況を確認していきます。

v4.0から要求事項となった「ターゲットリスク分析（TRA）」について、策定に悩む組織は多いようです。「どのように策定すれば良いのか」「他社はどれくらいの頻度で設定しているか」といった声が良く寄せられます。英語版になりますが本ガイダンスでTRAの要求事項を整理し、FAQやテンプレートが多少なりとも参考になればと思います。

従来のA～D、P2PEタイプに加えて、新たに「SpoC」タイプが追加されました。SSC検証済セキュアカードリーダ搭載の市販のモバイルデバイス向けですので、日本国内では、まだ利用される組織は少ないと思います。

今のところ英語版のみですが、SAQv4.0で対応する事業体様は、公式ガイドラインにはぜひ一度目を通す事を推奨します。

v4.0が発行された当初のROCにありました「In Place with Remediation」は、ROCとは分けてワークシートで対応するとして、短期間で廃止となりました。そのワークシートに該当すると思います。監査におけるQSAからの指摘事項などの報告書の様式は、現在各社に委ねられていますが、今後v4.0監査においてはこのワークシートに準じると思います。

当社は、本テンプレートを使用する運用に早々に切り替えていく予定です。
お客様におきましては、ご理解とご協力のほど、どうぞよろしくお願いします。

銀聯カードがPCI SSCの6ブランド目となりました。
入国水際対策も緩和され、銀聯カードのトランザクションも増えると容易に推測されます。
現状、銀聯カードについてもPCI DSS適用範囲で処理されているとは思いますが、適用範囲に漏れが発生しないよう、データフローの見直しをお願いします。

v4.0では、今まで実施していたことに対して更なる対応が必要になるものや、要件の考え方が厳格になったものがあります。
特に下記の件は、大きなインパクトがあるかもしれません。
・ディスク暗号化
・多要素認証
・システムアカウント管理

これら主要な変更点を当社のウェビナーやweb等々で詳しく解説していきたいと思います。

監査の基本はオンサイト監査ですが、PCI DSSではリモートワークの個人宅にオンサイト監査を行う事はありません。
事業体の責任において在宅環境で適用可能なPCI DSS 管理策が導入されていること、関連のポリシーおよび手順を実施する必要があります。
対応している状況については、可能な限り各種証跡を利用し確認します。

PCI DSS v4.0のリリースが2021年4Q(2021/10~12)に延期されました。

弊社でもドラフト版に対する意見をおくりましたが、メジャーバージョンアップであり、新しい要件も多く世界中から多くのコメント寄せられ調整に手間取っているのかなと思います。（コロナ禍の影響もあると思いますが）
多くの時間を掛け、良い基準になってくれると期待しています。
もう、延長はしないでほしいですね。