お問い合わせ

ログイン

Blog

Payments · 2024年3月10日

新たなステージへ: PCI DSS 4.0とは?

Payments

新たなステージへ。PCI DSS 4.0とは

2006年に開始されたペイメントカード業界データセキュリティ基準(Payment Card Industry Data Security Standard、PCI DSS)は、カード会員データを保護するための基盤です。PCI DSS 4.0は、Eコマースとサイバー脅威の進化に適応するために要件が大幅に変更されたもので、2022年3月31日にリリースされた最新のアップデートです。この記事では、PCI DSSの最新版、および前バージョン3.2.1と新バージョン4.0の主な違いについてご紹介します。

PCI DSS 4.0とは?

PCI DSS 4.0の目的は、決済業界の高度化する要件に対応できる、継続的なセキュリティの維持と新しい手法の導入です。前バージョンの12要件が基礎となっていますが、今回のアップデートで更新、再編成され、新しいガイダンスが追加されました。主な変更点は次のとおりです。

  • 各加盟店がセキュリティ目標を達成するために活用するさまざまな方法を提示できる柔軟性が向上

  • カード会員データ環境へのすべてのアクセスに多要素認証を実装するため、要件8に認証管理を追加

  • パスワードの長さを8文字から12文字に増やすなど、パスワード要件を更新

  • 共有アカウント、グループアカウント、一般アカウントに関する要件の変更

  • 各要件の役割と責任を明確に定義

  • リモートアクセス技術を使用する際のプライマリー・アカウント・ナンバー(PAN)のコピーまたは移転防止を明確化

  • 決済ページの安全性を高め、フィッシング、Eコマース、電子スキミング攻撃などの継続的な脅威を防止するための新たな要件を追加

PCI DSS 4.0とPCI DSS 3.2.1の主な違い

この2つのバージョンを比較したときの主な違いについて紹介します。

継続的なセキュリティ確保のための範囲改定:

  • PCI DSS 3.2は、要件の詳細を通じて適用範囲を定義

  • PCI DSS 4.0では、継続的な監視と範囲の動的な性質を強調

セキュリティの成果の重視:

  • PCI DSS 3.2は、規範的なセキュリティ管理を提示

  • PCI DSS 4.0では、セキュリティの成果をより重視し、柔軟性な運用が可能に

認証方法の強化:

  • PCI DSS 3.2は、特定のアクセスに対して多要素認証(MFA)を実装

  • PCI DSS 4.0では、MFAの範囲を拡張し、進化する認証方法を反映

ソフトウェア・セキュリティ要件の強化:

  • PCI DSS 3.2は、セキュア・ソフトウェア・ライフサイクル(SLC)の要件を導入

  • PCI DSS 4.0では、ソフトウェア・セキュリティ要件をさらに強化

継続的なペネトレーションテスト:

  • PCI DSS 3.2は、年1回のペネトレーションテストを要求

  • PCI DSS 4.0では、年1回ではなく、継続的なぺネトレーションテストを推奨

暗号化データの明確性:

  • PCI DSS 3.2は、暗号化データに対応しているが、ガイダンスは限定的

  • PCI DSS 4.0では、暗号化データの管理に関する正確なガイダンスを提供

ベンダーの責任拡大:

  • PCI DSS 3.2は、サービスプロバイダーの責任の概要を提示

  • PCI DSS 4.0は、サービスプロバイダーの責任範囲を拡大し、文書化と変更管理を強調

報告義務の強化:

  • PCI DSS 3.2 には、特定の報告要件の概要を提示

  • PCI DSS 4.0では、エビデンスに基づく報告に重点を置き、報告要件を強化

実施スケジュールと移行

PCI DSS 4.0は2022年3月31日から適用され、2024年3月31日までは旧バージョンのPCI DSS 3.2.1と併用されます。各加盟店には、この移行期間中に、変更点を確認し、テンプレートの更新、および新しいPCI DSSを導入します。

なお、2024年3月31日にはPCI DSS 3.2.1が廃止され、PCI DSS 4.0が唯一の有効なバージョンとなります。v4.0で特定された将来の要求事項の適用については、2025年3月31日までの猶予期間が設けられています。

2025年3月31日以降、この要件はPCI DSS審査の必須要件となります。

準拠しなかった場合

定められた期限までにPCI DSS 4.0に準拠しない場合、罰則が課せられます。評議会では、非準拠期間に応じて金額が増加する段階的な罰金体系を採用しています。

準拠しなかった企業は、金銭的な罰則だけでなく、重要な契約やビジネス関係を失い、カード決済を受け付けられなくなるリスクもあります。

まとめるとPCI DSS 4.0では、セキュリティの強化と、決済業界のダイナミックな状況への適応を目指して、重要な変更点が導入されています。Opn Paymentsは、データセキュリティを第一に考え、2023年からPCI DSS 4.0に準拠しています。PCI DSS 3.2.1からPCI DSS 4.0への移行準備の過程に関しては、当社のセキュリティ・マネージャーが説明しています。

More from Opn

Opn PaymentsのPayment Links +とは?メリットと使い方を解説

2024年8月29日

Opn PaymentsのPayment Links +とは?メリットと使い方を解説
ピーク時のシステム安定化の舞台裏、 Opn Paymentsのインフラ担当ディレクターにインタビュー

2024年7月30日

ピーク時のシステム安定化の舞台裏、 Opn Paymentsのインフラ担当ディレクターにインタビュー
Opn Paymentsが業務プロセス合理化を支援する5つのポイント

2024年7月14日

Opn Paymentsが業務プロセス合理化を支援する5つのポイント
Subscribe to receive the latest updates from Opn

Protected by reCAPTCHA

Privacy Terms
製品
Opn Payments決済の受付決済情報の管理売上金の振込不正利用の防止ECサイトPayment linksPayFacAcquiringカードの発行Opn Pro
会社概要
Opnについてニュース採用情報
資料
導入の流れ導入事例ブログ料金ドキュメントよくあるご質問プライバシーポリシーと利用規約制限付きビジネス
お問い合わせ
お問い合わせ導入のご相談パートナーになるサポートに問い合わせる
FacebookInstagramTwitterLinkedIn
プライバシーポリシーと利用規約

Copyright 2020-2025 OPN Co., Ltd.

System status

Opnは、お客様のウェブサイト全般における利便性を向上するためにクッキーを利用し、お客様のアクセス、閲覧履歴に関する情報を収集します。 当社のウェブサイトを閲覧し続けることにより、お客様は当社のプライバシーポリシーに同意することとします。 詳細はこちら