ブログ

PCI DSS 3.2.1 の期限が深夜に迫っています... 4.0 の準備はできていますか?

エドワード・オコンネル サムネイル
エドワード・オコンネル
2024年4月1日公開

2024年3月31日日曜日、世界にとって重要な日が過ぎ去りました。 なぜそんなことを言うのでしょうか? 消費者の支払いを受ける組織にとって、これはPCI DSS 3.2.1 コンプライアンス標準が廃止される日です (2018 年 5 月 1 日~2024 年 3 月 31 日)。 貴社は現在、 PCI DSS 4.0 のタイムラインにおり、2025 年 3 月までに 4.0 準拠の SAQ と外部組織による監査を完了する必要があります。 消費者の支払いを通じて収益を計上したい場合、PCI DSS 4.0 に準拠しないという選択肢はありません。

PCI DSS 4.0 仕様は 3.2.1 からのメジャー アップグレードであり、変更の概要はここで確認できます。 バージョン 4.0 では、多数の変更 (および更新された SAQ ) が導入されていますが、コンプライアンスを達成して維持するために、全体的な構造で保護する必要があるまったく新しい領域が 2 つあります。

  • アプリケーションプログラミングインターフェース(API)[2.2.7; 6.2.3; 6.2.4]
  • 特注ソフトウェア [6.X; 8.6.2; 12.8.1]

わかりやすくするために、「オーダーメイド ソフトウェア」の一部についてのみ詳しく説明します。 これは、消費者の支払いを容易にするために組織によって構築されたカスタム ソフトウェアです。 特注ソフトウェアは次のとおりです。

  • 社内または外部のサードパーティソースから開発
  • 決済アプリケーション(トランザクションのサーバー側)用に開発されたソフトウェア、またはデータ収集を促進するために消費者のウェブブラウザ(トランザクションのクライアント側)にプッシュされるソフトウェア

多くの組織にとっての課題は、特注ソフトウェアのセキュリティと PCI DSS コンプライアンスを消費者の Web ブラウザーにまで拡張することです (要件 6.4.1、11.6.1)。 トランザクションのセキュリティを確保するということは、サーバー側を保護するだけでなく、消費者が導入した「特注ソフトウェア」から消費者の Web ブラウザを監視し、保護することも意味します。 また、クライアントの Web ブラウザー用の特注ソフトウェア (JavaScript など) をサードパーティから入手しても、支払い収集者がそれを監視および保護する必要がなくなるわけではありません。 原因を突き止めようとしても、監査人には何も解決しません。

では、クライアント側のカスタム ソフトウェアの要件は何でしょうか? セクション 6.4.1 から、次のようになります。

消費者のブラウザに読み込まれ実行されるすべての支払いページ スクリプトは、次のように管理されます。

  • 各スクリプトが承認されていることを確認するメソッドが実装されています。
  • 各スクリプトの整合性を保証するメソッドが実装されています。
  • すべてのスクリプトのインベントリは、それぞれのスクリプトが必要な理由を文書化した上で維持されます。

つまり、プッシュされたすべてのソフトウェア (スクリプト) は、違反が特定された場合に修復するためのゲーム プランを使用して、インベントリ化、正当化、および監視される必要があります。 アプリ/IT セキュリティ スタッフは、この要件を管理、監視、レポートする準備ができていますか? あなたとあなたのチームは、PCI DSS 監査人と 4.0 コンプライアンス レビューのスケジュールについて話し合ったことがありますか? 今こそ、セキュリティと PCI DSS コンプライアンス計画が順調に進んでおり、セキュリティ運用、そしてさらに重要な組織の収益獲得に支障をきたしていないことを確認するときです。 なぜなら、PCI DSS 4.0 コンプライアンスを満たすためにトランザクションのクライアント側を保護することは、あなたが思っているよりもはるかに近いからです。