ICMS(国際マネジメントシステム認証機構)

要件8.4.2「カード会員データ環境（CDE）へのすべてのアクセスにMFAが実装されている。」は2025 年 3 月 31 日まではベストプラクティスで、それ以降は必須となります。
すべてのアクセスとは？
対象について「適用性の注記」には以下の通り記載があります。

クラウド、ホスティングシステム、オンプレミスアプリケーション、ネットワークセキュリティ機器、ワークステーション、サーバ、エンドポイントなど、あらゆるタイプのシステムコンポーネントに適用され、企業のネットワークやシステムへの直接アクセス、アプリケーションや機能へのウェブベースアクセスも含まれます。

例えば、インターネット越しでCDEに構築された非消費者向けWebアプリケーションについても適用されるでしょうか。
PCI SSCに問い合わせたところ「すべてのアクセス」とあるように、CDEへのアクセスを提供するコンシューマ以外のユーザーが使用するアプリケーションは含まれ、そのアクセスがCDE内のシステムコンポーネントを管理するために使用されるかどうかは問わない。これらの要件は、コンシューマ（カード保持者）が使用するアカウントには適用されない・・・との事でした。
これはかなりインパクトが大きい要件といえます。

PCI SSCのFAQ関連記事はこちらです。
https://www.pcisecuritystandards.org/faqs/
Article Number: 1577(2024年5月)