脆弱性スキャンは、少なくとも3か月に1回、また重要な変更後に必要となります。PCI DSSにおける「重要な変更」とは何を意味しますか？

PCI DSSの重大な変更

重大な変更の定義は、環境の構成に大きく依存します。

ただし、以下のアクティビティは、PCI評議会によって「重要な変更」と見なされます。

• CDEへの新しいハードウェア、ソフトウェア、ネットワーク機器の追加
• CDEのハードウェアおよびソフトウェアの交換またはメジャーアップグレード
• アカウントデータのフローまたは保存の変更
• CDEの境界および/またはPCI DSS評価の範囲の変更
• CDEの基盤となるサポートインフラストラクチャのあらゆる変更（ディレクトリサービス、タイムサーバー、ロギング、監視の変更を含むがこれらに限定されない）
• CDEをサポートする、または事業体に代わってPCI DSS要件を満たすサードパーティベンダー/サービスプロバイダー（または提供されるサービス）の変更

これらのアクティビティはそれぞれ、少なくとも、事業体のカード会員データ環境（CDE）のセキュリティに潜在的な影響を及ぼし、その変更がその事業体にとって、また関連するPCI DSS要件の文脈において重要であるかどうかを判断するために検討と評価が必要になります。