クレジットカード情報を扱うセキュリティ基準『PCI DSS』が新版に

この記事のURLhttp://japan.internet.com/ecnews/20080820/12.html

無線通信のセキュリティが不十分だったことが原因と報じられた TJX の一件をはじめ、数々のデータ漏洩事件が大きく報道されたことを受け、クレジットカード業界はセキュリティ基準の強化を図っている。

業界基準を統括する PCI Security Standards Council は18日、クレジットカード取引を行なう業者用のセキュリティ基準『Payment Card Industry Data Security Standard』(PCI DSS) のバージョン1.2について、更新内容の概要を発表した。PCI によれば、10月から PCI DSS は新バージョンに移行するという。

PCI は PCI DSS バージョン1.2について、「大きな新要件は導入せず、項目の明確化を進めた」だけと述べているが、重要な変更点もある。更新版では、6月30日に義務化された PCI DSS 要件項目6.6が、必須要件として記述される。

バージョン1.2では、無線セキュリティ プロコトル『Wired Equivalent Privacy』(WEP) に関する記述を削除し、より新しい『IEEE 802.11x』規格を支持する内容となる。また、リムーバブル電子メディア、Eメール、Web、ノートパソコン、PDA が、セキュリティ ポリシー適用対象例として新たに加わる。そのほか、PCI DSS が適用される会社の従業員を対象としたセキュリティ要件も厳しさを増す。

PCI DSS バージョン1.2は、9月の第1週に加盟組織に提供され、9月23日から25日にかけてフロリダ州オーランドで開催する PCI のコミュニティ会議で詳細について議論を行なう。10月22日から23日にベルギーのブリュッセルで開催するもう1つのコミュニティ会議では、さらなる議論が交わされる予定だ。

オンデマンド脆弱性管理およびポリシー遵守ソリューションの Qualys で、PCI ソリューション マネージャを務める Sumedh Thakar 氏は、取材に対して次のように述べた。「(新バージョンの) 背景にある考えは、新たな要件を追加することではなく、ある種の明確化により、セキュリティ実施方法において確実な変化を導くことになるというものだ」

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。