PCI DSS（支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）和PA DSS（付款申請數(shù)據(jù)安全標(biāo)準(zhǔn)）的2.0版本即將登臺亮相。在官方“發(fā)布”PCI DSS 2.0之前，人們可以通過查看該標(biāo)準(zhǔn)委員會的“更改情況摘要”文件對此次所做的改動(dòng)進(jìn)行了解。（編輯注：本文以更改情況摘要中的信息為藍(lán)本。）

站在對 PCI（支付卡行業(yè)）進(jìn)行評估的角度，在對標(biāo)準(zhǔn)所做更改的情況進(jìn)行具體分析之前，在宏觀層次上此次更改體現(xiàn)出兩個(gè)特征：第一點(diǎn)，更改的幅度相對較小。這一點(diǎn)是人們所沒預(yù)料到的；該領(lǐng)域不少的專家曾預(yù)測新的標(biāo)準(zhǔn)會采用“主要版本/次要版本”的模式來進(jìn)行發(fā)布（與軟件產(chǎn)品的發(fā)布情況類似）。2008年10月PCI DSS 1.2發(fā)布，此后許多人估計(jì)今年發(fā)布的2.0“主要版本”將會是徹底的改變，但結(jié)果卻與人們預(yù)測的不符。該標(biāo)準(zhǔn)委員會把標(biāo)準(zhǔn)的成熟化作為改動(dòng)相對較少的原因。因此，企業(yè)可以做出這樣的預(yù)測：未來發(fā)布的標(biāo)準(zhǔn)改動(dòng)將會更少。在過去的五年里，該標(biāo)注的1.x版本反復(fù)出現(xiàn)，導(dǎo)致改動(dòng)相當(dāng)大，這使得一些企業(yè)遭受了沉重的打擊，對他們而言出現(xiàn)上述情況也不失為一件好事。

第二點(diǎn)，更改的執(zhí)行時(shí)間也很合理。換句話說，在企業(yè)被要求就它們?nèi)绾螌?shí)施了這些標(biāo)準(zhǔn)的更改而進(jìn)行陳述前，企業(yè)還有充分的反應(yīng)時(shí)間。因?yàn)檫@些標(biāo)準(zhǔn)的更改要到2011年才生效，留給他們還有一年的時(shí)間。在進(jìn)行升級評估前，企業(yè)還有充分的時(shí)間來確保自身的環(huán)境處于良好的狀態(tài)中。

但這些可以帶來積極效果的進(jìn)展不應(yīng)該成為安全和規(guī)則遵從（compliance）管理人員偷懶的借口。盡管大部分的改動(dòng)意味著控制范圍的縮小，但一些較小部分反而會產(chǎn)生更大的沖擊。因?yàn)檫@些小部分會涉及到企業(yè)目前的業(yè)務(wù)流程、規(guī)則遵從符合的范圍，以及企業(yè)以往對控制的理解情況。所以，現(xiàn)在正是采取行動(dòng)、查看更改、對企業(yè)的規(guī)則遵從計(jì)劃進(jìn)行調(diào)整的好時(shí)機(jī)。這時(shí)候采取行動(dòng)將事半功倍。

PCI 2.0可能會使評估的影響輕微下降

總而言之，大部分的標(biāo)準(zhǔn)更改意味著PCI評估過程中工作量的減少。更改后的標(biāo)準(zhǔn)為評審員或企業(yè)都提供了額外的靈活度，從而可以縮小評估工作的范圍，并允許進(jìn)行有梯度的評估，適用于企業(yè)和QSA（質(zhì)量體系評定）。梯度評估使得企業(yè)不會再為爭論自己的部署是否符合苛刻的參數(shù)而花費(fèi)大量時(shí)間；在和控制范圍的描述說明結(jié)合在一起后，企業(yè)和服務(wù)提供商之間耗時(shí)巨大的討價(jià)還價(jià)的情況就大大減少了，它還能減少質(zhì)量體系評定時(shí)關(guān)于意圖與實(shí)際意義的爭論。下表列舉了具有以下特點(diǎn)的領(lǐng)域：標(biāo)準(zhǔn)的更改對PCI評估工作沒有影響，或者減輕了評估過程的工作強(qiáng)度。

正如你所看到的，除了兩個(gè)已經(jīng)提及的領(lǐng)域，該表格中所列項(xiàng)目對評估所造成的影響都相對較小。反而是另外的兩個(gè)領(lǐng)域，商人和服務(wù)供應(yīng)商或許更樂于保持警惕。

兩個(gè)需要注意的領(lǐng)域

最值得注意的改變是對PCI評估范圍的說明（在上面更改清單的第二個(gè)條款里）。然而，該條款還不太明確，特別是如何在最終的文件中體現(xiàn)出范圍的改變。但有一點(diǎn)可以肯定，最終文件里需要保留充分的記錄，從而讓參加評估的人能對范圍的改變有所注意?？梢悦鞔_的是，在上述情況中持卡人的數(shù)據(jù)流圖表應(yīng)該包括所有崗位和所有領(lǐng)域。

這對許多企業(yè)來說是個(gè)難題。實(shí)際情況表明，許多企業(yè)在這一點(diǎn)上并沒有滿足要求。乍一看，出示企業(yè)各個(gè)領(lǐng)域的最新持卡人數(shù)據(jù)流圖表并非難事。但是，在一個(gè)大型的、具有多種不同業(yè)務(wù)部門的零售環(huán)境中，數(shù)據(jù)流圖表可能只會涉及到一個(gè)業(yè)務(wù)部門，或者是整個(gè)企業(yè)付款流程系統(tǒng)的一部分。因此，評估范圍的改變會促使不同業(yè)務(wù)部門間加強(qiáng)流動(dòng)信息的共享（因?yàn)橐粋€(gè)過程可能關(guān)系到多個(gè)業(yè)務(wù)部門），并確保所有的付款流程都在文件材料上體現(xiàn)出來。在進(jìn)行評估時(shí)，相關(guān)文件的不足總是主要的問題之一。所以，這項(xiàng)改變也更凸顯了原來就存在的一個(gè)老問題。

第二點(diǎn)，表面上看對虛擬化進(jìn)行升級沒什么危害，可是我們中的大多數(shù)一直面臨著這么一個(gè)問題，即虛擬化如何與要求聯(lián)系，例如“一臺服務(wù)器需具備一項(xiàng)功能”（Requirement 2.2.1）。然而，將“系統(tǒng)組件”的定義擴(kuò)展，使其包括虛擬化組件，從深層來看似乎有悖于Requirement 2.2.1，而且還會影響到其他的要求。例如，有些要求和測試步驟特別指出所涉及的是“所有系統(tǒng)組件”（Requirements 10.6指出， “系統(tǒng)組件的日志至少要每天檢查一次”，Requirement 2.2，“所有的系統(tǒng)組件都需制定配置標(biāo)準(zhǔn)”）。

為“所有系統(tǒng)組件”進(jìn)行定位的Requirements含蓄地表示，系統(tǒng)組件包括虛擬環(huán)境，測試步驟也是如此。因此，測試步驟2.2.a（“檢查企業(yè)所有類型系統(tǒng)組件的系統(tǒng)配置標(biāo)準(zhǔn)，并核實(shí)這些標(biāo)準(zhǔn)是否與行業(yè)接受的硬性標(biāo)準(zhǔn)相一致”）意味著不僅企業(yè)本身要有一套與虛擬化環(huán)境相關(guān)的硬性標(biāo)準(zhǔn)，企業(yè)的評審員也要擁有和參考那套標(biāo)準(zhǔn)。而在以前的評估中，情況并非如此。

總的來說，對企業(yè)和服務(wù)提供商而言，該標(biāo)準(zhǔn)的這一版本意味著評估過程的精簡，能夠從某種程度上減輕由于實(shí)施PCI DSS規(guī)則遵從而帶來的負(fù)擔(dān)。不過，系統(tǒng)組件包括虛擬化組件和升級所需的文件材料又使評估過程變得復(fù)雜了。所以，在企業(yè)第一次進(jìn)行PCI DSS 2.0標(biāo)準(zhǔn)評估時(shí)，一定要向評審員說明上述兩點(diǎn)的情況。不過，從現(xiàn)在就開始對企業(yè)現(xiàn)有的控制部署還不能覆蓋的領(lǐng)域進(jìn)行規(guī)劃仍是一個(gè)很不錯(cuò)的策略。

作者：Ed Moyle