2005年6月30日に発効した Payment Card Industry (PCI) Data Security Standard は、それまで MasterCard や Visa などのクレジット・カード会社各社がカード・システムのセキュリティを統制するために導入していた各種の規格を一本化したもので、世界中のカード業界で採用されています。2006年9月には PCI 規格のバージョン1.1* が発布され、PCI 1.0 の条項の明確化と細かな改定が行われました。 PCI 1.1では、次のような変更が行われています。
- カード所有者情報の特定のデータ要素と、その保管および保護に関する要件を明確化した新しい条項の追加
- その要件が適用される期間の明確化
- データ処理業者に適用される要件の明確化
- PCI 1.0 で定められている、カード所有者情報を容易には読み取れないようにするための要件を完全には順守できない企業などを対象とする、その補完手段に関する情報の追加
- アプリケーション・ファイアウォールの使用に関する新しい要件の追加(2008年6月30日までは随意、それ以降は義務化)
- PCI 1.0 で曖昧だった表現全般の明確化
今回の改定版は PCI 1.0 に置き換わるものですが、2006年12月31日までは PCI 1.0 を PCI 準拠の基準として使用できることになっています。ただし、それ以降は PCI 1.1 の使用が義務化されます。
*出典: Payment Card Industry (PCI) Data Security Standard, PCI Security Standards Council LLC, Wakefield, Massachusetts, United States of America, September 2006.