PCI DSS 4.0 は、クレジット カード情報と顧客の個人データを保護するために組織が講じなければならない予防措置を規定する、ペイメント カード業界によって設定された最新の標準です。新しい標準は、現在の PCI DSS v3.2.1 バージョンを廃止し、リスク軽減のための新しいガイドライン セットを提供します。

これらの追加要件の背後にある目標は、継続的なプロセスとしてセキュリティを促進し、検証方法と手順を強化し、追加のセキュリティ方法論の柔軟性とサポートを提供することです。

PCI DSS 標準 4.0 の新バージョンでは、要件の拡張、コンプライアンスの変更、セキュリティ管理の改訂が行われています。すべての新しい変更に関する唯一の信頼できる情報源は、PCI SSC ドキュメント ライブラリにある PCI DSS v3.2.1 から PCI DSS v4.0 への変更概要ドキュメントです。

新しい更新と要件を明確に理解したら、それらを現在のセキュリティ管理と照らし合わせて、ギャップを埋めるために組織が実行する必要がある手順を文書化する必要があります。

2025 年 3 月 31 日の期限に間に合うようにスムーズな移行と実装を確実に行うために、リーダーは各要件に対する役割と責任を明確に定義し、すべてのチームと関係者の間で明確なコミュニケーションを確保する必要があります。

PCI DSS 4.0 は、2024 年 3 月の時点ですでにほぼ発効しています。最終的な新しいコンプライアンス要件の一部は、2025 年 3 月 31 日に発効します。後者の要件は現在「ベスト プラクティス」として分類されていますが、「PCI DSS 4.0.1」としてグループ化される最終的な要件セットの一部です。

PCI DSS コントロールは、ビジネス環境でカード所有者のデータを保護するために組織が実装する必要があるセキュリティ対策です。これらは、機密性の高い顧客データと支払いデータの安全性を確保するために必要です。

新しい PCI DSS 4.0 管理は、以前のバージョンの要件とほぼ同じ内容をカバーしていますが、リスク軽減とアクセス制御が拡張されています。 12 の主要な PCI DSS 要件にまたがる 64 の新しい管理があります。新しい PCI DSS 4.0 の完全なリストについては、PCI SSC ドキュメント ライブラリにある「PCI DSS v4.0 変更の概要」ドキュメントを参照してください。

PCI DSS 4.0 には以下の 12 の要件があります。

1. カード所有者のデータを保護するためにファイアウォール構成をインストールおよび維持する

2. システムパスワードやその他のセキュリティパラメータにベンダー提供のデフォルトを使用しないでください。

3. 保存されているカード会員データを保護する

4. オープンなパブリック ネットワークを介したカード所有者データの送信を暗号化する

5. すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新します。

6. 安全なシステムとアプリケーションを開発および維持する

7. ビジネス上必要な情報に基づいてカード会員データへのアクセスを制限する

8. システムコンポーネントへのアクセスを識別および認証する

9. カード会員データへの物理的アクセスを制限する

10. ネットワーク リソースとカード所有者のデータへのすべてのアクセスを追跡および監視する

11. セキュリティ システムとプロセスを定期的にテストする

12. すべての従業員の情報セキュリティに対処するポリシーを維持する