PCI DSS v4.0公開と移行のスケジュール

2022年3月31日、PCI DSS v4.0が公開された。同時に、Summary of Changes（v3.2.1とv4.0の変更点の概要）、準拠報告書（RoC）テンプレート、加盟店向けおよびサービスプロバイダー向けの準拠証明書（AoC）テンプレートが公開された。

9年ぶりのメジャーバージョンアップとなるため、多様なステークホルダーの意見を取り入れるべく慎重な検討が進められた。PCI SSCによれば、3回のRFC（Request for Comment）で、200を超える組織から6,000を超えるフィードバックが寄せられたという。

要件はv3.2.1と変わらず12要件で構成されている。変更点としては、前回のメジャーバージョンアップ以降に登場した新技術への対応や、オンラインスキミングやフィッシングなどの新しい攻撃手法への対応が多分に取り込まれている。また準拠する事業体側が、自らのセキュリティ目標に基づき実装手段を設計できるカスタマイズバリデーションの導入やクラウドサービスを利用した準拠に関する考え方が整理された。

今後4月から6月にかけ、日本語も含む各国語へ翻訳と自己問診票（SAQ）などのサポート文書の公開が予定されている。6月からは、v3.2.1資格を保有するQSA/ISA向けの移行トレーニングが提供される。v4.0での審査が可能となるのは2022年6月以降の予定だ。

PCI DSS v3.2.1の有効期間は2024年3月31日と定められた。それまでは移行期間として、v3.2.1とv4.0のどちらでも準拠が可能となる。技術的に移行が難しかったり、準拠のための負担が重い新要件については、ベストプラクティス要件として2025年3月まで準拠が猶予される。

▼PCI DSS v4.0への移行スケジュール