enterPAYment

Menu

PA-DSSに代わる決済向けソフトウェアセキュリティ基準を公表(PCI SSC)

2019年1月24日16:00

PCIセキュリティスタンダードカウンシル(PCI SSC)は、このほど最新の決済ソフトウエアのセキュアデザインと開発のための新要件について公表した。

PCIセキュアソフトウエア基準とPCIセキュアライフサイクル(セキュアSLC)基準は、新たなPCIソフトウエアセキュリティフレームワークを構成するもので、同フレームワークはソフトウエアベンダーおよびそのソフトウエア製品のバリデーションプログラムと、評価者向けの資格認定プログラムを含むという。これらのプログラムは2019年内に開始する予定だ。

各PCIソフトウエアセキュリティ基準は従来の決済ソフトウエア向けペイメントアプリケーションデータセキュリティ基準(PA-DSS)の対象範囲を超えて、①PCIセキュアソフトウエア基準では、決済ソフトウエアが決済取引/データの完全性および機密性を適切・確実に保護できるようにするためのセキュリティ要件と評価手続きについて、全体像を示している、②PCIセキュアSLC基準では、ソフトウエアベンダーがソフトウエアの全体的ライフサイクルを通じて決済ソフトウエアのセキュリティを適切に管理している状況を立証するためのセキュリティ要件と評価手続きについて、全体像を示している――といったように、最新の決済ソフトウエアを対象にソフトウエアセキュリティの全体的な弾力性の問題に対処できるようにする。

これらの基準はPA-DSSに取って代わるものであり、PA-DSSが2022年に終了すると有効になる。それまでの間は、PA-DSSに投資を行った組織のために段階的移行期間となる。

各PCIソフトウエアセキュリティ基準は決済カード業界関係者で構成される専門タスクフォースの意見を取り入れて開発。PCI SSCの参加組織と評価者も策定プロセスの間、複数回のコメント募集(RFC)期間を通じて、基準を評価し、基準についての意見を提出した。