ペイメント、テクノロジーそしてセキュリティの変化と共に業界からのフィードバック(ご意見)がPCI DSS v4.0改訂へのアプローチをリードしています。PCI SSCは業界関係者との協議を通じ、PCI DSS v4.0 について多くのご質問を受けました。そこで PCI DSS v4.0 の現在の状況について鍵となるご質問に対し、DSS担当ディレクターであるLauren Hollowayがインタビューを通じ回答をいたします。
注意: 本記事の中で述べられている日付はすべて現時点での見通しに基づくもので
今後変更される可能性があります
PCI DSS文書化処理は現在どのような状況でしょうか?
Lauren Holloway : 2019年10月~12月に実施されたThe request for comment (RFC) ではドラフト版に対し3,000件以上のご意見が寄せられました。現在、PCI SSCは受理したこれらのフィードバックをすべてレビューし検討しています。追加のRFCが2020年9月~10月に計画されています。追加のRFCでは前回受理したフィードバックをベースとして新しく更新されたPCI DSS v4.0ドラフトバージョンが使われます。
次回のRFCおよびRFCのプロセスについての詳細情報は RFC Pageをご確認ください。
PCI DSS v4.0はいつリリースされますか?
Lauren Holloway : PCI DSS v4.0の最終版の発表は現時点では2021年中頃に予定されています。このタイムフレームは従来のPCI DSSの改訂よりも際立って長めの時間が設定されていることになります。
今回の改訂プロセスの中ではステークホルダーがフィードバックを提示する機会が追加され、それについて対応するためにこの延長されたタイムフレームが設定されました。
詳細(英語のみ): 3 Things to Know about PCI DSS v4.0 Development
2019年のRFCにて受理されたフィードバックの詳細の分析結果は提示されるのでしょうか?
Lauren Holloway : 3,000件以上のフィードバックのレビューが完了しPCI DSS v4.0ドラフトが更新された時点で、「RFCフィードバックサマリーレポート」が2019年のRFCご参加者にPCI Portalを通じ供給されます。このサマリーでは各フィードバックがどのように対応されたかを示しますが、追加RFCの時にこれらの参加者宛てにアクセスが可能となります。
加えて、PCI SSCは四半期ごとのステークホルダーウェブキャストと本年後半に計画されているコミュニティ・ミーティングを通じPCI SSCのコミュニティにアップデートを提示します。
自己問診票(SAQ)はいつ更新されますか?また どのような変更が含まれますか?
Lauren Holloway : SAQ、ROC、PCI DSS Glossaryそして Prioritized Approachを含むサポートドキュメントの改訂はPCI DSSが改訂される時に、その改訂作業プロセスの一環として行われます。PCI SSCは本年後半にPCI DSS v4.0と連動してすべてのサポートドキュメントについて改訂作業を開始し、進捗の状況を提示いたします。PCI SSCはPCI DSS v4.0最終版発表後、数か月以内にこれらのドキュメントを完成させリリースできるように計画しています。
下記のチャートはRFC,予定されているPCI DSS v4.0関連マテリアルを含む、PCI DSS v4.0の策定に向けた現在のタイムラインの概要を示します。
PCI DSS v4.0のリリース後どれくらいの期間で実行しなければなりませんか?
Lauren Holloway : PCI DSS v4.0発表後、PCI DSS v3.2.1から v4.0 に更新する組織に対して拡張的な移行期間が提示されるでしょう。移行期間は更新作業を支援するために、PCI DSS v4.0発表後さらに関連するすべてのマテリアル、すなわち 基準、サポートドキュメント(SQ,ROC,とAOCを含む)トレーニングそしてプログラムがリリースされた後に18か月間設定されます。
注意: PCI DSS v4.0 基準はその運用を支援するために必要とされるサポートドキュメント、トレーニングとプログラムの改訂に先立ち6か月前に発表されるようにスケジュールされます。そのため結果的に、PCI DSS v4.0 基準の発表からPCIDSS v3.2.1 の引退まで2年間の移行期間があります。
この拡張的な移行期間の設定により組織がPCI DSS v4.0 の変更点に慣れ親しみ、報告用のテンプレートや書式を更新し、そして更新された要件に対応するための計画立案と実行を支援します。移行期間の終了後はPCI DSS v3.2.1 は引退し v4.0 のみが有効となります。
PCI DSS V3.2.1 と v4.0の双方が有効である18か月間に加えて、v4.0 の新要件の中には計画導入のために`future-dated (未来日付)`として臨時の追加対応期間が設定される要件があるでしょう。
`future-dated (未来日付)`の要件とは何ですか? そしていつ有効になりますか?
Lauren Holloway : PCI DSSにおいて、新要件では実行するための追加的な時間を組織に提示するため「未来日付」を設定されることがあります。「未来日付」を設定された要件はその期日が来るまではベストプラクティスとして見做されます。この間、組織は「未来日付」の要件のバリデーションを求められません。その一方で、組織が当該新要件を満たすためにコントロールを実行した「未来日付」に先行して評価される準備が整っていることを推奨します。指定された「未来日付」を迎えた時点でそれらの要件は有効になり適用可能となります。
PCI DSS v4.0 ではいくつかの新要件に「未来日付」が設定されることが想定されます。しかし、幾つの新要件に「未来日付」が設定されるかは基準が完成するまでは確定しません。
これらの新要件に対し有効な「未来日付」が設定されるかはPCI DSS v4.0 の発表準備が整うまで確認できませんが、組織がすべての新要件に対応するための計画、そしてセキュリティコントロールの実行と必要な手続きのために十分な時間が提示されるでしょう。「未来日付」は基準に盛り込まれる新要件のもたらす全体的な影響の度合いに依存します。現在のドラフトのもとで計画されている移行期間を超えた「未来日付」はPCI DSS v4.0発表後2年半~3年の期間設定が想定されます。
計画された移行期間のタイムラインと「未来日付」が設定された新要件に対する可能性のあるタイムラインは下図の通りです。
詳細(英語のみ): How Industry Feedback is Shaping the Future of PCI DSS
PCI DSS v4.0 完成前にそのドラフトは発表されますか?
Lauren Holloway : 基準のドラフトはレビューと意見提示のためにPCI SSCのステークホルダーに共有されます。次回のドラフトはQSA,ASVそしてParticipating Organization (PO-参加団体)に対し、本年9月~10月に次回のRFCの期間中にそのレビューと意見提示のために提示されます。
次回のRFCおよびRFCのプロセスについてのさらなる詳細は RFC Page. をご覧ください。
私は次回のPCI DSS v4.0 RFCに参加したいのですが、どのようにしたら良いですか?
Lauren Holloway : いかなる組織もParticipating Organization (PO-参加団体)に参加することができます。PCI基準ドラフトに対する意見提示に加え、POの特典は Special Interest Groups (SIG)へ提案、投票と参加、年次の各コミュニティ・ミーティングへの無料参加、そして貴社の顧客や提携先にペイメントセキュリティに対するコミットメントを表明することができます。POのすべての特典の詳細についてはhow to become a PO here. をご参照ください。
PCI DSS v4.0 への準備のために組織は何ができますか?
Lauren Holloway : PCI DSS v4.0 が策定途上にある一方、PCI SSCはすべての組織にPCI DSS v3.2.1 で規定されたセキュリティコントロールを念入りに維持するように推奨します。 これは継続的なセキュリティを確保するだけでなく、 PCI DSS v4.0 への移行も容易になります。
初期のPCIDSSドラフトにアクセスされた組織はそれらの新/更新要件を実行しようとせず PCI DSS v4.0 最終版が発表されるまで待機するように強く促します。RFCはあくまでドラフトであり最終版では内容が異なります。
2020年5月
