ICMS(国際マネジメントシステム認証機構)

要件3は、保存したアカウントデータを確実に保護することが目的です。v3.2.1からの変更点に注意し、意図をくみ取って対策を強化してください。特に重要事項は幾つかピックアップしていきます。要件番号に３が付く関連記事をご参照ください。

要件３「カード会員データの保護」から「*アカウントデータの保護」に
*アカウントデータは、「カード会員データ：プライマリアカウント番号（PAN）、カード会員名、有効期限、サービスコード」と「機密認証データ(SAD)：フルトラックデータ、セキュリティコード、PIN/PINブロック」から構成される。

これまでのバージョンでは、PANを中心に書かれていましたが、v4.0ではSADの扱いが明確化されました。
原則的にオーソリ後のSADは、暗号化されていても保存してはなりません。SADが保存され、悪意ある外部/内部に漏えいすると、保存可能なカード会員データと組み合わせることで不正なカード利用のリスクを高めます。
v4.0ではアカウントデータ全体の保護として、要件が強化されました。

関連記事
～解説～役割と責任の定義【要件3.1.1と3.1.2】
～解説～アカウントデータの保存を最小限にとどめる【要件3.2】
～解説～機密認証データ（SAD）は、オーソリゼーション後に保存されない。【要件3.3】 Comming Soon!