新しいバージョンでは、すぐに適用される改良が導入され、PANマスキングの要件も拡張されています。 これで、マスキングにより、カード番号の最小桁数が表示されるようになります。 追加の数字を表示するには(最初の6と最後の4を除く)、正当化が必要です。 以前は、このような正当化により、問題全体を表示する権利が提供されていました。
この規格の多くの拡張要件がすべての組織に適用され、2018年2月1日に施行されます。
- システムまたはネットワークに変更を加えた後、PCI DSS要件への準拠を保証し、関連するドキュメントを更新する必要があります。
- リモート(非コンソール)ログインでは、管理者は多要素認証(2つ以上)を使用する必要があります。
2018年2月1日以降のサービスプロバイダーは以下を行う必要があります。
- 暗号化アーキテクチャの最新の説明がある。
- 物理的アクセス制御を含む主要な保護手段の障害のタイムリーな検出と報告を確実にする。
- 主要な保護対策の失敗に対するタイムリーな対応を確保します。これには、復旧や、失敗の原因の発生を防ぐための対策の実施が含まれます。
- 少なくとも6か月ごとに、使用されている方法またはセグメンテーションの方法が変更された場合に、セグメンテーション測定値の浸透に関するテストを実行します。
- カード会員データ保護担当者とPCI DSSコンプライアンス担当者を指定します。
- セキュリティポリシーと運用手順のコンプライアンスを四半期ごとに確認します。
- そのような検査の証拠書類を保管してください。
さらに、標準の新バージョンには、支払いカード所有者のデータを保護するアクティビティを組織の運用アクティビティに統合することを目的とした追加要件が含まれています(BAU-通常どおりのビジネス)。 これらの要件は、支払いシステムの決定によって個々の組織に提示されます。
変更の概要は、 PCI Security Standards CouncilのWebサイトで入手できます。