2009年1月29日木曜日

PCIデータセキュリティ基準(PCI DSS)、v1.1とv1.2の要件概要を比較する

結論、概要レベルだと一緒です。
 

でも日本語訳がちょっと違う、折角なので比較のために原文、日本語v1.1・v1.2 を並べてみました。※違いがあるところだけ併記。
 

ちなみにバージョン別の各国版はどれも PCIDSSの公式サイト からPDFのダウンロードができます、規約に同意してね。
 

では比較版を。全く意味はないが変更について至極どうでもいいコメントもしてみよう。
 

Build and Maintain a Secure Network
安全なネットワークの構築・維持


  • Requirement 1: Install and maintain a firewall configuration to protect cardholder data
    要件1: カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること

  • Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters
    要件2: システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと

 
全く変わらない、ファイアウォールは運用の要件が変わってたがここでの表現は同じ。
 

Protect Cardholder Data
カード会員データの保護


  • Requirement 3: Protect stored cardholder data
    要件3: 保存されたカード会員データを安全に保護すること (1.1)
    要件3: 保存されるカード会員データの保護 (1.2)

  • Requirement 4: Encrypt transmission of cardholder data across open, public networks
    要件4: 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること

 

要件3、「安全に保護」だと二重表現っぽいということかな?頭痛が痛いみたいな。
保存の仕方や情報の範囲にも要件はあるので、「保存された」→「保存される」は良い変更だと思ったら、資料のうち詳細のところでは元のままだった。
 


Maintain a Vulnerability Management Program
脆弱性を管理するプログラムの整備


  • Requirement 5: Use and regularly update anti-virus software
    要件5: アンチウィルス・ソフトウェアを利用し、定期的に更新すること

  • Requirement 6: Develop and maintain secure systems and applications
    要件6: 安全性の高いシステムとアプリケーションを開発し、保守すること

 

Implement Strong Access Control Measures
強固なアクセス制御手法の導入


  • Requirement 7: Restrict access to cardholder data by business need-to-know
    要件7: カード会員データへのアクセスを業務上の必要範囲内に制限すること

  • Requirement 8: Assign a unique ID to each person with computer access
    要件8: コンピュータにアクセスする利用者毎に個別のID を割り当てること (1.1)
    要件8: コンピュータにアクセスできる各ユーザに一意のIDを割り当てる (1.2)

  • Requirement 9: Restrict physical access to cardholder data
    要件9: カード会員データへの物理的アクセスを制限すること (1.1)
    要件9: カード会員データへの物理的アクセスを制限する (1.2)

 
要件8、「する」を「できる」に変更してきました。外的要因への対応?といった所でしょうか、イメージしやすくなったかも。
要件9はなぜかここだけ「こと」のみカット。他に比べてここにはむしろ必要な部類なんじゃあなかろうか…?
 


Regularly Monitor and Test Networks
定期的なネットワークの監視およびテスト


  • Requirement 10: Track and monitor all access to network resources and cardholder data
    要件10: ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること (1.1)
    要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する (1.2)

  • Requirement 11: Regularly test security systems and processes
    要件11: セキュリティ・システムおよび管理手順を定期的にテストすること (1.1)
    要件11: セキュリティ・システムおよびプロセスを定期的にテストする (1.2)

 
要件10、「資源」→「リソース」、ちょっとハイカラな表現で演出してきましたね。
なのに全体で AおよびB を CおよびDする となってちょっとオシャレ度ダウンな印象、およびおよびな。
要件11もハイカラですね、でも1.1の意訳っぽい表現のほうがマッチしていたかも。
 


Maintain an Information Security Policy
情報セキュリティ・ポリシーの整備


  • Requirement 12: Maintain a policy that addresses information security
    要件12: 情報セキュリティに関するポリシーを整備すること (1.1)
    要件12: 情報セキュリティポリシーを整備する (1.2)※

※要件12、PCIDSS資料本文のところでは「従業員および派遣社員向けの情報セキュリティポリシーを整備する」になってます。見出しから変えすぎじゃない?
 
セキュリティにまつわるエトセトラ、的な表現から単体指名になってますね。まあ 大体あってる ので分かりやすくなった、ここは潔くてナイス。
ただ本文のほう、従業員および派遣社員向け だけじゃなくて サービスプロバイダ向けもあるので本文の追加見出しに不足があります、注意。
 
 
 

v1.1 で見られる文末を「・・・すること」で統一するというポリシーがなくなった模様。
あと範囲が限定的すぎた表現を適切になるよう変更したといった感じですかね。
「・・・すること」全廃でもいいと思うけどなあ。