當(dāng)實(shí)施應(yīng)用安全項(xiàng)目時(shí)，PCI DSS是否是充分的指南?組織是不是應(yīng)該采取托管PCI合規(guī)清單以外的措施? 

[[120196]]

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)列表清單是一個(gè)不錯(cuò)的開始，但它不可覆蓋現(xiàn)代企業(yè)中所有的應(yīng)用安全問(wèn)題?，F(xiàn)在努力于安全方面的項(xiàng)目經(jīng)理希望咨詢PCI DSS指南，以及一些相關(guān)的安全標(biāo)準(zhǔn)，專門深入研究應(yīng)用安全。謹(jǐn)記，PCI DSS只專注于信用卡，它可能并不適合所有組合的信息安全。

PCI DSS是信息安全的規(guī)范框架，它并不是必須特定在應(yīng)用安全上。PCI DSS的12條標(biāo)準(zhǔn)的真髓是，擁有一個(gè)安全的環(huán)境來(lái)保護(hù)敏感的持卡人數(shù)據(jù)。這些標(biāo)準(zhǔn)由安全策略強(qiáng)制執(zhí)行，并由不斷出現(xiàn)的漏洞管理和安全測(cè)試支持。在某種程度上，這正是組織應(yīng)用安全項(xiàng)目所需要的。然而，應(yīng)用安全需要更多的細(xì)節(jié)，而不是一般的信息風(fēng)險(xiǎn)管理建議。

并于改進(jìn)應(yīng)用安全項(xiàng)目的一個(gè)***的做法是，審查并遵循PCI安全標(biāo)準(zhǔn)委員會(huì)的付款應(yīng)用數(shù)據(jù)數(shù)據(jù)安全標(biāo)準(zhǔn)(PA-DSS)。PA-DSS比PCI DSS更以應(yīng)用安全為中心。它更加深入到應(yīng)用安全架構(gòu)中，特別是一個(gè)PA-DSS需求概括了特殊安全控制，來(lái)創(chuàng)建并維護(hù)安全應(yīng)用 。

總的來(lái)說(shuō)，PCI DSS對(duì)管理信息安全提供了良好的指導(dǎo)。PA-DSS與特定的PCI DSS需求一起創(chuàng)建了整個(gè)安全項(xiàng)目。如果你正在尋找另外通用的應(yīng)用安全框架，我建議OWASP的前十名，和它相關(guān)的項(xiàng)目。

充分的應(yīng)用安全對(duì)于不同的人和企業(yè)有不同的意義。***，你需要把應(yīng)用安全看作是信息安全的子集，確保適當(dāng)?shù)牧鞒毯腿藛T都能持續(xù)地參與進(jìn)來(lái)。