PCI DSS バージョン3.2は2016年4月に発行されましたが、2018年2月1日には、推奨から要件に変更された点があります。中でも特に注意すべき点は以下のとおりです。
- 変更管理ー要件6.4.6ー大幅な変更の完了時に、ただちに全ての関連PCI DDS要件を新規または変更されたシステムとネットワークに適用し、ドキュメントを適宜更新する必要がある。
(これは当然の要件のようですが、2018年以前にはベストプラクティスに過ぎませんでした) - アクセスコントロールー要件8.3.1ー管理アクセス権限をもつ担当者の全てのコンソール以外のCDEへの管理アクセスに多要素認証を組み込む。
(2018年2月1日以前には、リモートネットワークアクセスの全ての当事者には多要素認証が求められていましたが、コンソール以外の管理アクセスには求められていませんでした。
- セグメンテーション テストー要件11.3.4.1ーサービスプロバイダ用の追加要件。セグメンテーションが使用されている場合は、少なくとも6ヶ月に一度、及びセグメンテーションの制御・方法が変更された後に、セグメンテーション制御のペネトレーションテストを行ってPCI DSS範囲を確認すること。(以前は、ぺネストレーションテストは必須でしたが、セグメンテーションテストは要求されていませんでした。)
PCI制御の実装に当たり、サポートはご入用でしょうか
PCI制御の多くは商用ソフトウェアソリューションを使えば自動化と実装が可能です。
Tripwire Enterpriseはファイル整合性監視とセキュアな設定管理を保証し、コンプライアンス要件を満たすようにユーザを導きます。
Tripwire IP360は脆弱性の管理と、許可されたまたは無許可のネットワーク上のシステムを監視のためアセット・ディスカバリを実施します(これはクリティカルセキュリティー コントロール1でもあります!)。またTripwire Log Centerは、一箇所に集められたログを収集管理し、ネットワーク内で重要な事態が発生した時に警告を出します。
PCI環境の管理・運営のサポートをお探しでしたら、PCI認定のTripwire XepertOpsが、大切なインフラ監視をサポートします。
PCIはクレジットカードのデータを守ります
PCIは2004年から実施されてきましたが、以来コントロールと要件はデジタル時代のデータを安全に守るための強力な防御フレームワークとなってきました。コントロールはコンプライアンスの単なる「チェックボックス」としてだけではなく、データを守る上でのリーディングプラクティス(主導的実務)であり、もし適切に遵守し実行すれば、どんな組織であってもサイバーセキュリティーが増大します。
