ブログ

知っておくべき PCI DSS 4.0.1 の重要な変更点

ウド・ブリュッヒャー サムネイル
ウド・ブリュッヒャー
2024年7月30日公開

ペイメントカード業界データセキュリティ基準 (PCI DSS) v3.2.1 は 2024 年 3 月 31 日に期限切れになり、PCI DSS v4.0 に置き換えられたのではないですか?

はい、そうです。

しかし、PCI DSS v4.0 の公開後に寄せられたフィードバックや質問に対応するため、PCI セキュリティ標準協議会 (PCI SSC) は、標準の限定的な改訂版をリリースすることを決定しました。 PCI DSS v4.0.1。 (PCI DSS v4.0 が 2024 年 12 月 31 日に廃止されると、v4.0.1 が PCI SSC でサポートされる唯一のアクティブな標準になります。) 

PCI DSS v4.0.1 には、トランザクションのセキュリティとコンプライアンスを更新または構築する際に知っておくべき重要な変更点がいくつかあります。 簡潔にするために、このブログでは、F5 のアプリケーションおよび API セキュリティ ソリューションが対処する変更と更新について説明します。 より完全な変更リストはPCI SSC のWeb サイトでご覧いただけます。 

PCI DSS v4.0.1 に含まれる最も関連性の高い更新は、クライアント側のセキュリティ要件の範囲に関する明確化を目的としています。

誰が何に対して責任を負いますか?

要件 6.4.3

この要件では、消費者のブラウザに読み込まれ実行されるすべての支払いページ スクリプトは次のように管理される必要があると規定されています。

  • 各スクリプトが承認されていることを確認するメソッドが実装されています。
  • 各スクリプトの整合性を保証するメソッドが実装されています。
  • すべてのスクリプトのインベントリは、それぞれのスクリプトが必要な理由をビジネス上または技術上の根拠とともに文書化して維持されます。

通常、販売者は支払い処理を決済サービスプロバイダーまたはサードパーティサービスプロバイダー (PSP または TPSP) に依存しており、これによって消費者が購入する商品やサービスの支払い方法が決まります。 この PCI 要件により、販売者が支払いページを含む PSP/TPSP インライン フレーム (iframe) を使用するシナリオを管理する責任モデルに関連する混乱が生じました。 iframe は基本的に、特定の機能のためにレンダリングされる小さな Web ページです。 スクリプトも実行される可能性があるため、iframe は親 Web ページと同じリスクにさらされる可能性があります。 したがって、iframe は親ページと同じ PCI 要件に従う必要がありますか?

v4.0.1 アップデートでは、マーチャントは自身のページ (親ページ) でのみ実行されるスクリプトに対して責任を負い、PSP/TPSP iframe で実行されるスクリプトに対しては責任を負わないことが明確にされています。

ベストプラクティス: PSP/TPSP iframe ページが準拠し、安全であることを確認するためにベンダーと協力するのは販売者の責任です。 加盟店がこの要件を満たさない場合、支払い詐欺の問題に直面し、ビジネス上の損失や PCI による厳しい監視につながります。

要件 11.6.1

要件 11.6.1 に関しても同様の説明が追加され、消費者のブラウザが受信する HTTP ヘッダーとスクリプトのセキュリティに影響を与えるシステムに重点が置かれました。 これは重要な変更です。PCI は、セキュリティとは無関係な HTTP ヘッダーやスクリプトのインシデントに対するより広範な保護を要求するのではなく、この要件に関連するリスクに重点を置いていることを明確にしているからです。

PSP/TPSP に埋め込まれた iframe の責任モデルに関する更新もあり、販売者は親 Web ページに対してのみ責任を負い、PSP/TPSP ベンダーは iframe でレンダリングされるセキュリティに影響を与える HTTP ヘッダーとスクリプトに対して責任を負うことが明確になりました。

 

時間は刻々と過ぎていく

新しい要件の実装期限である 2025 年 3 月まであと 9 か月を切った今、組織は提案された変更と PCI DSS v4.0.1 への準拠に関連する複雑な問題をすべて解決する必要があります。

 

F5 と PCI DSS v4.0.1

F5 分散クラウド サービスのF5 分散クラウド Web アプリケーションおよび API 保護 (WAAP)分散クラウド ボット防御分散クラウド クライアント側防御、およびモバイル アプリケーション セキュリティ スイートは、企業と消費者間の取引全体を保護するための基盤を形成します。 クライアント側スクリプトの場合、Distributed Cloud Client-Side Defense はコンプライアンスを実現するための可視性と制御を提供します。 F5 Distributed Cloud Services は現在 PCI DSS v4.0 に準拠しており、定期的に認定監査会社によるコンプライアンス監査を受けています。 組織は 2025 年 1 月 1 日までに PCI DSS v4.0.1 に準拠する必要があり、これを反映するために自己評価アンケートを更新する必要があります。

最後に、PCI DSS 要件の対象となる組織は、今後の四半期に次のドキュメントに変更が加えられることを予想できます。 

  • 自己評価アンケート(SAQ)
  • コンプライアンス報告書(ROC)
  • コンプライアンス証明書 (AOC)

ベストプラクティス: https://blog.pcisecuritystandards.org で標準の更新や改訂を監視し、PCI DSS 監査人と話し合って、組織が PCI DSS 要件を満たすように順調に進んでいることを確認してください。

詳細については、 f5.com/products/distributed-cloud-servicesをご覧ください。