最近美國國會聽證會正在積極討論PCI DSS如何幫助行業(yè)發(fā)展的議題，眾多業(yè)內(nèi)專家都對PCI表示不滿，并認為這種沒實際作用的標準應(yīng)該取消。

筆者認為這些業(yè)內(nèi)專家們應(yīng)該沒有看PCI 安全標準委員會的“Lifecycle Process for Changes to PCI DSS(PCI DSS生命周期計劃)”，如果他們仔細看了的話，他們可能不會這樣認為了。在該計劃中，委員會為PCI標準制訂了長期詳盡的戰(zhàn)略規(guī)劃。

通常大家都不愿意投資于長期安全計劃，他們希望能夠獲得立竿見影的效果，盡管事實上他們從沒有在其設(shè)計和程序中加入安全概念。很多企業(yè)常常忽視安全問題，而只想通過部署安全設(shè)備就能夠通過SOX審計員的審核。

在生命周期計劃中，PCI委員會制訂了詳細的24個月的周期，主要包括五個步驟，來確保企業(yè)對PCI數(shù)據(jù)安全標準逐步的、分階段的部署和使用。這五個階段主要包括：部署、反饋、反饋修改、新版本和新版本修訂。委員會還指出，他們也將為PA-DSS(支付應(yīng)用數(shù)據(jù)安全標準)和PED(PIN輸入設(shè)備)安全要求發(fā)布類似的改進周期。

PCI生命周期計劃模仿了Ross Anderson的理念，Anderson認為，雖然大多數(shù)基本安全技術(shù)(加密技術(shù)、軟件可靠性、防篡改、安全打印和審計等)都能夠比較好的理解，但是對于如何有效運用這些技術(shù)方面的問題大家的知識和經(jīng)驗都非常有限。Anderson建議采用以工程為基礎(chǔ)的方法來解決這個問題，而不是簡單的用安全設(shè)備來解決這些問題。

2006年9月份發(fā)布的PCI 1.1版本受到了廣泛的支持，版本1.2發(fā)布于2008年10月，中間為期兩年的時間都在進行安全更新，從這里來看，PCI仍然正在完成市場部署階段。

總體的問題在于，安全和良好的安全總是需要時間的，需要進行分析、反饋評估和理解。并且，完成這些步驟后，企業(yè)需要再次重復(fù)一遍，因為威脅和漏洞都是動態(tài)的，總是隨著時間的推移不斷發(fā)生變化。

PCI DSS的妙處在于它擁有很聰明的概念，包括公開正式反饋過程、趨勢分析、影響評價、知道和很多嵌入的結(jié)構(gòu)標準。PCI花費了很長的整體的方法來試圖解決問題。

事實上，在沒有界定“有效運行”概念之前，我們無法回答關(guān)于PCI是否有效的問題。最重要的是要記住，PCI是一個長期的戰(zhàn)略解決方案，而不是短期的安全修復(fù)項目。

良好的安全性能需要花費時間，PCI安全標準委員會認同這一點，安全專家們也同意這個觀點，難道大家還有異議?