PCI-DSS 3.2におけるマルチファクタ&その他の変更点 [HyTrust]


PCI-DSS 3.1は2016年10月に廃止され、PCI-DSS 3.2となりました。PCIはアップデートされていきますが、根本的な考え方は変わっていないので安心できます。基本的な考え方は以下の通りです。

  • 安全なネットワークとシステムを構築及び維持
  • カード会員データの保護
  • 脆弱性管理プログラムの維持
  • 強力なアクセス制御の実施
  • ネットワークを監視のテスト
  • 情報セキュリティポリシーの維持

PCIセキュリティ規格評議会によれば、PCI-DSS 3.2の最大の変更のいくつかは認証、特に2要素認証(2FA)に関連しています。一般的に言えば、認証にはパスワードやトークンのようなもの(RSA SecurlIDCA Strong Authentication)、生体認証(指紋、網膜スキャンなど)があります。

これらの変更の1つは、2因子認証の使用からマルチファクタ認証(8.3)の呼び出しに移行することです。これは技術の進歩と、少なくとも2つの要因を使用することが要求される一方で、2つ以上の要素を使用することが可能であるという事実をカバーしています。

マルチファクタ認証のトピックについては、カード所有者データ環境(CDE)への非コンソール管理アクセスのために必要になりました。ユーザがセキュアなネットワーク内にいるかどうかかかわらず、これが適用されることに注意することが重要です。具体的には、8.3.1にはコンソール以外のCDEアクセスにはマルチファクタが必要で、8.3.2にはすべてのリモートCDEアクセスにマルチファクタが必要です。

HyTrust CloudControlは、RSA SecurlIDやCA Strong Authenticationなどのマルチファクタ認可と統合されています。これにより、組織はHyTrust DataControlが提供する軍事用暗号化を利用して強力なコンプライアンスを展開することができます。コンプライアンスといえば、HyTrust CloudControlには、PCI-DSSだけでなく、NIST、CIS、SOXなどのコンプライアンステンプレートが多数揃っています。これらのテンプレートを使用すると、現在、準拠環境を設定するだけでなく、コンプライアンスを確実に進めることができるようになります。

他にも変更点はありますが、DESV(Designated Entities Supplemental Validation)や文章中に無い記載に関しては、ハイパーバイザーから対応する範囲外であるため、他の方法での対処が必要になります。

注:PCI-DSS = Payment Card Industry Data Security Standard

関連トピックス

PCI-DSS 3.2におけるマルチファクタ&その他の変更点 [HyTrust] への1件のフィードバック

  1. climb のコメント:

    [ホワイトペーパー]HyTrustCloudControl_PCI DSS3.2サポート(pdf)をアップしました。 https://www.climb.co.jp/soft/hytrust/document/

    ◆目次
    ・PCI DSSと仮想化
    ・ハイパーバイザーがPCI DSSの対象に
    ・HyTrust CloudControl のPCI DSSサポート
    ・PCIコンプライアンス費用を削減
    ・ミックスドモード
    ・まとめ
    付表 1:HyTrust CloudControlによるPCIサポート一覧
    付表 2: HyTrust CloudControlが実践するPCIベストプラクティス/ガイドライン

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です