PCI DSS v4.0 検証ドキュメントの主な変更点は？

PCI DSS v4.0検証ドキュメントの変更点

オンライン決済統合や対面決済統合などのAdyenの暗号化ソリューションをご利用の場合、新バージョンのPCI DSSにおける主な変更点は以下のとおりです。 これらの要件は、クレジットカード決済を受け入れ、PCI DSSバージョン4.0で評価するマーチャントを対象としています。

SAQ A

• 新しいパスワードと拡張された多要素認証（MFA）要件（要件8）：アカウントデータの侵害を防ぐため、すべてのシステムコンポーネントへの多要素認証の導入が強く推奨されます。ただし、MFAが実装されておらず、パスワード/パスフレーズが唯一のサインイン方法として使用されている場合、パスフレーズ/パスフレーズは少なくとも90日ごとに変更する必要があります。また、マーチャントは、これらのアカウントのセキュリティ設定に基づいて、ケースバイケースでシステムコンポーネントへのアクセスを許可するカスタムアプローチを実装することもできます。
• セキュリティ意識（要件6）：マーチャントには、国際および地域のコンピュータ緊急対応チーム（CERT）からの新しいセキュリティ脆弱性に関する警告や情報を常に入手することが求められます。
• 四半期ごとの外部脆弱性スキャン（要件11）：Eコマースによる決済を受け入れるマーチャントは、PCI SSCが承認したスキャニングベンダーによる外部脆弱性スキャニングを少なくとも3か月に1回、および決済環境に重大な変更があった場合はその後に実施するか、ポリシーおよび手順を文書化する必要があります。当初は12か月以内に4回のスキャンに合格することは求められませんが、その後の数年間は、少なくとも3か月ごとのスキャンへの合格が義務付けられています。この要件は直ちに発効します。

SAQ BIP（対面決済（IPP））

• IPPデバイスのセキュリティアップデート（要件6）：インストールするデバイスアップデートをマーチャントが管理している場合、特定された脆弱性の深刻度と影響度に従って、セキュリティパッチを管理し、決済端末にインストールすることが求められます。

SAQ B-IP（IPPデバイス上のMOTO）

• IPPデバイスのセキュリティアップデート（要件6）：インストールするデバイスアップデートをマーチャントが管理している場合、特定された脆弱性の深刻度と影響度に従って、セキュリティパッチを管理し、決済端末にインストールすることが求められます。
• アクセス制御（要件7）：この要件は、従業員の職務分類と機能によって、MOTO決済フローのカード所有者データへの一時的なアクセスを制限しています。重要なのは、各人が自分の職務を遂行するために必要な場合にのみ、ユーザー権限を割り当てることです。

SAQ C-VT（IPPデバイス上のMOTO）

• アクセス制御（要件7）：IPPデバイス上のMOTOと同様に、仮想端末を介して完了するMOTOのこの要件は、従業員の職務分類と機能によって、MOTO決済フローのカード所有者データへの一時的なアクセスを制限しています。重要なのは、各人が自分の職務を遂行するために必要な場合にのみ、ユーザー権限を割り当てることです。

先日付の変更

以下の要件は、2025年3月31日までのベストプラクティスであり、マーチャントの評価では「該当なし」となる場合があります。これらは、この日付以降に実行される評価にのみ完全に適用されます。

SAQ A

• 新しいパスワードの要件：バージョン 3.2.1の最小要件である7文字とは異なり、システムコンポーネントに数字と英字の両方を含む12文字（システムが12文字に対応していない場合は8文字以上）が必要となります。
• 決済ページのコンテンツの整合性の監視（要件6および11）：中間者攻撃のリスクを軽減するために、マーチャントは、マーチャントのウェブサイト/ウェブアプリケーションで実行されるTPSPのインラインフレーム/iFrameを含むウェブを含む、決済ページのHTTPヘッダーとスクリプトの整合性を監視/確認するための手順（変更/改ざん検出メカニズム/テクノロジーなど）を整備する必要があります。

PCI DSS v4.0への以降についての詳細は、AdyenのPCI DSSコンプライアンスガイドおよび当社のPCI DSS v4.0のブログ投稿を参照してください。