PCI SSCのブログでPCI DSS V3.2の変更点サマリーに関する記事が公開されました。

(2016年4月19日付）

発表のポイントは以下の通りとなります。（抄訳）

1. カード会員データ環境(CDE)への管理アクセス全てに多因子認証を要求

システム設定やアカウント情報の変更が可能でネットワーク内でセキュリティ環境に
侵害を与える事が潜在的にできる権限者は、自社、ベンダーを問わず全て対象。
(システム間通信で使用される認証、ローカルコンソールよりのアクセスは対象外)

本変更への対応準備として、現在のCDEへの認証管理方法や管理者の役割の確認、
今回の変更で影響を受ける可能性がある場所を識別すること。

2. 継続的なセキュリティ強化と要件の統合のためにDESVを付属書に追加

組織がアクワイアラやペイメントブランドから、このDESVを要求された場合は
評価を受けるために必要。
DESVはPCI DSS基準自体の要求事項を上回っているが、各組織でセキュリティ対策として
取り入れるべきかどうか検討することを、必須ではないが推奨。

3. 新しいサービスプロバイダに対する要求事項について
CDE内セキュリティの有効性の管理として以下が含まれる。
1) 暗号化アーキテクチャの文書化された記述の維持
2) 重要なセキュリティ制御システムの不全に関する報告
3) 経営層のカード会員データの保護とPCI DSSコンプライアンス・プログラムの確立に対する責任。

PCI DSS V3.2で強調されている点：
セキュリティコントロールが適切に機能している事の重要性。
具体的には、特にサービスプロバイダーに対して、最低半年ごとにペネトレーションテストで
セグメンテーションコントロールの確認を要求。
ポイントは、予防、検出、及びデータの損失に繋がる攻撃への対応に、継続的なプロセスの確立。

4. SSL/ TLSに関して
SSLとearly TLSからの移行を図るレポートの支援になる情報を、付属書に追記。


※この抄訳はあくまでもご参考として案内させて頂いたものであり、
万一、原文と抄訳との間に齟齬がある場合には、
英語の原文が優先することをご了承下さい。

※PCI SSC blog（原文）

V3.2の具体的な変更点は、詳細な情報が入り次第、随時お知らせいたします。