ペイメントカード業界セキュリティ標準協議会 (PCI SSC) は、クラウド コンピューティング サービスでペイメントカードを使用する際のガイダンスを大幅に更新しました。
2013年に最終バージョンが公開されて以来、クラウド業界では多くの変化がありました。水曜日のバージョン3がバージョン2より31ページ多い83ページになったのも、このためかもしれません。
The Registerによる文書の解釈では、大きな変更は脆弱性管理に関する新設セクション6.5あたりから始まるとされています。この改訂版では、Webアプリケーション、内部ネットワーク、侵入テストに関するアドバイスが追加されています。
PCI評議会はビッグバン規格のアップグレードに別れを告げる
続きを読む
セクション 6.4 も新しく、「顧客は、地域および世界の規制/侵害法、データ プライバシー、セキュリティ インシデント管理、侵害通知の要件に準拠する必要性を考慮し、明確で曖昧でない言葉でプロバイダーにデータ侵害通知を契約で要求する必要があります」と提案しています。
予想どおり、ソフトウェア定義ネットワークやモノのインターネットなどの新しいテクノロジーが、PCI コンプライアンスにどのような影響を与えるかについてのガイダンスとともに言及されています。
ハイパーバイザーのイントロスペクション、つまりワークロードをピアリングして予期せぬ動作をしていないことを確認する手法は、「ロールベースのアクセス制御を回避でき、VM自体にフォレンジック監査証跡を残さずに使用できる」という理由から、長年検討されてきました。デスクトップ仮想化、特にクラウドホスト型デスクトップにも、大幅な新たなガイドラインが必要となっています。
コンテナ プラットフォームがクラウドで支払いカード情報を処理する準備が整ったと見なされる前に実行する必要がある作業も多数あります。
もう 1 つの新しく非常に現代的な推奨事項は、Elastic Cloud で作成されたリソースが PCI コンプライアンスに必要なセキュリティ制御を継承していることを確認するための自動化のテストに関するものです。
新しい文書には数百件の変更が含まれています。主なポイントを評価する最良の方法は、「PCI DSSコンプライアンスの課題」セクションの更新内容を検討することです。
新バージョンでは、「パブリック環境やマルチテナント環境などの分散型で動的なインフラストラクチャでは、PCI DSSコンプライアンスの検証が特に困難になる可能性がある」という警告が追加されています。どちらの文書も、クラウドが提供するインフラストラクチャを理解することは難しいと警告しています。新バージョンでは、そのため「特定のサービスの対象範囲に含まれるシステムコンポーネントを特定したり、特定のPCI DSSコントロールの責任者を特定したりすることが困難になる」と付け加えています。
多くの変更は、クラウドが PCI 準拠であることを確認するためのスコープ設定に関係しており、その多くは、クラウドのどの部分が PCI 準拠として認定されているか、そのセキュリティの責任者は誰か、インシデントがカード所有者の助けにならないような多くの責任のなすり合いに終わらないようにするにはどうすればよいかを正確に判断するための作業に関係しています。
新しいガイダンス文書はこちら(PDF)です。バージョン2はこちら(PDF)でご覧いただけます。文書を比較したい場合は、こちらをご覧ください。®
