PCI DSS 2.0：解析PCI评估变更（上）

　　又到这个时候了。PCI DSS(支付卡行业数据安全标准)和PA DSS(付款申请数据安全标准)的2.0版本即将登台亮相。在官方“发布”PCI DSS 2.0之前，人们可以通过查看该标准委员会的“更改情况摘要”文件对此次所做的改动进行了解。(编辑注：本文以更改情况摘要中的信息为蓝本。)

　　站在对 PCI(支付卡行业)进行评估的角度，在对标准所做更改的情况进行具体分析之前，在宏观层次上此次更改体现出两个特征：第一点，更改的幅度相对较小。这一点是人们所没预料到的;该领域不少的专家曾预测新的标准会采用“主要版本/次要版本”的模式来进行发布(与软件产品的发布情况类似)。2008年10月PCI DSS 1.2发布，此后许多人估计今年发布的2.0“主要版本”将会是彻底的改变，但结果却与人们预测的不符。该标准委员会把标准的成熟化作为改动相对较少的原因。因此，企业可以做出这样的预测：未来发布的标准改动将会更少。在过去的五年里，该标注的1.x版本反复出现，导致改动相当大，这使得一些企业遭受了沉重的打击，对他们而言出现上述情况也不失为一件好事。

　　第二点，更改的执行时间也很合理。换句话说，在企业被要求就它们如何实施了这些标准的更改而进行陈述前，企业还有充分的反应时间。因为这些标准的更改要到2011年才生效，留给他们还有一年的时间。在进行升级评估前，企业还有充分的时间来确保自身的环境处于良好的状态中。

　　但这些可以带来积极效果的进展不应该成为安全和规则遵从(compliance)管理人员偷懒的借口。尽管大部分的改动意味着控制范围的缩小，但一些较小部分反而会产生更大的冲击。因为这些小部分会涉及到企业目前的业务流程、规则遵从符合的范围，以及企业以往对控制的理解情况。所以，现在正是采取行动、查看更改、对企业的规则遵从计划进行调整的好时机。这时候采取行动将事半功倍。