PCI DSS（支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）和PA DSS（付款申請(qǐng)數(shù)據(jù)安全標(biāo)準(zhǔn)）的2.0版本即將登臺(tái)亮相。在官方“發(fā)布”P(pán)CI DSS 2.0之前，人們可以通過(guò)查看該標(biāo)準(zhǔn)委員會(huì)的“更改情況摘要”文件對(duì)此次所做的改動(dòng)進(jìn)行了解。（編輯注：本文以更改情況摘要中的信息為藍(lán)本。）

站在對(duì) PCI（支付卡行業(yè)）進(jìn)行評(píng)估的角度，在對(duì)標(biāo)準(zhǔn)所做更改的情況進(jìn)行具體分析之前，在宏觀層次上此次更改體現(xiàn)出兩個(gè)特征：第一點(diǎn)，更改的幅度相對(duì)較小。這一點(diǎn)是人們所沒(méi)預(yù)料到的；該領(lǐng)域不少的專(zhuān)家曾預(yù)測(cè)新的標(biāo)準(zhǔn)會(huì)采用“主要版本/次要版本”的模式來(lái)進(jìn)行發(fā)布（與軟件產(chǎn)品的發(fā)布情況類(lèi)似）。2008年10月PCI DSS 1.2發(fā)布，此后許多人估計(jì)今年發(fā)布的2.0“主要版本”將會(huì)是徹底的改變，但結(jié)果卻與人們預(yù)測(cè)的不符。該標(biāo)準(zhǔn)委員會(huì)把標(biāo)準(zhǔn)的成熟化作為改動(dòng)相對(duì)較少的原因。因此，企業(yè)可以做出這樣的預(yù)測(cè)：未來(lái)發(fā)布的標(biāo)準(zhǔn)改動(dòng)將會(huì)更少。在過(guò)去的五年里，該標(biāo)注的1.x版本反復(fù)出現(xiàn)，導(dǎo)致改動(dòng)相當(dāng)大，這使得一些企業(yè)遭受了沉重的打擊，對(duì)他們而言出現(xiàn)上述情況也不失為一件好事。

第二點(diǎn)，更改的執(zhí)行時(shí)間也很合理。換句話(huà)說(shuō)，在企業(yè)被要求就它們?nèi)绾螌?shí)施了這些標(biāo)準(zhǔn)的更改而進(jìn)行陳述前，企業(yè)還有充分的反應(yīng)時(shí)間。因?yàn)檫@些標(biāo)準(zhǔn)的更改要到2011年才生效，留給他們還有一年的時(shí)間。在進(jìn)行升級(jí)評(píng)估前，企業(yè)還有充分的時(shí)間來(lái)確保自身的環(huán)境處于良好的狀態(tài)中。

但這些可以帶來(lái)積極效果的進(jìn)展不應(yīng)該成為安全和規(guī)則遵從（compliance）管理人員偷懶的借口。盡管大部分的改動(dòng)意味著控制范圍的縮小，但一些較小部分反而會(huì)產(chǎn)生更大的沖擊。因?yàn)檫@些小部分會(huì)涉及到企業(yè)目前的業(yè)務(wù)流程、規(guī)則遵從符合的范圍，以及企業(yè)以往對(duì)控制的理解情況。所以，現(xiàn)在正是采取行動(dòng)、查看更改、對(duì)企業(yè)的規(guī)則遵從計(jì)劃進(jìn)行調(diào)整的好時(shí)機(jī)。這時(shí)候采取行動(dòng)將事半功倍。

PCI 2.0可能會(huì)使評(píng)估的影響輕微下降

總而言之，大部分的標(biāo)準(zhǔn)更改意味著PCI評(píng)估過(guò)程中工作量的減少。更改后的標(biāo)準(zhǔn)為評(píng)審員或企業(yè)都提供了額外的靈活度，從而可以縮小評(píng)估工作的范圍，并允許進(jìn)行有梯度的評(píng)估，適用于企業(yè)和QSA（質(zhì)量體系評(píng)定）。梯度評(píng)估使得企業(yè)不會(huì)再為爭(zhēng)論自己的部署是否符合苛刻的參數(shù)而花費(fèi)大量時(shí)間；在和控制范圍的描述說(shuō)明結(jié)合在一起后，企業(yè)和服務(wù)提供商之間耗時(shí)巨大的討價(jià)還價(jià)的情況就大大減少了，它還能減少質(zhì)量體系評(píng)定時(shí)關(guān)于意圖與實(shí)際意義的爭(zhēng)論。下表列舉了具有以下特點(diǎn)的領(lǐng)域：標(biāo)準(zhǔn)的更改對(duì)PCI評(píng)估工作沒(méi)有影響，或者減輕了評(píng)估過(guò)程的工作強(qiáng)度。

正如你所看到的，除了兩個(gè)已經(jīng)提及的領(lǐng)域，該表格中所列項(xiàng)目對(duì)評(píng)估所造成的影響都相對(duì)較小。反而是另外的兩個(gè)領(lǐng)域，商人和服務(wù)供應(yīng)商或許更樂(lè)于保持警惕。

兩個(gè)需要注意的領(lǐng)域

最值得注意的改變是對(duì)PCI評(píng)估范圍的說(shuō)明（在上面更改清單的第二個(gè)條款里）。然而，該條款還不太明確，特別是如何在最終的文件中體現(xiàn)出范圍的改變。但有一點(diǎn)可以肯定，最終文件里需要保留充分的記錄，從而讓參加評(píng)估的人能對(duì)范圍的改變有所注意。可以明確的是，在上述情況中持卡人的數(shù)據(jù)流圖表應(yīng)該包括所有崗位和所有領(lǐng)域。

這對(duì)許多企業(yè)來(lái)說(shuō)是個(gè)難題。實(shí)際情況表明，許多企業(yè)在這一點(diǎn)上并沒(méi)有滿(mǎn)足要求。乍一看，出示企業(yè)各個(gè)領(lǐng)域的最新持卡人數(shù)據(jù)流圖表并非難事。但是，在一個(gè)大型的、具有多種不同業(yè)務(wù)部門(mén)的零售環(huán)境中，數(shù)據(jù)流圖表可能只會(huì)涉及到一個(gè)業(yè)務(wù)部門(mén)，或者是整個(gè)企業(yè)付款流程系統(tǒng)的一部分。因此，評(píng)估范圍的改變會(huì)促使不同業(yè)務(wù)部門(mén)間加強(qiáng)流動(dòng)信息的共享（因?yàn)橐粋€(gè)過(guò)程可能關(guān)系到多個(gè)業(yè)務(wù)部門(mén)），并確保所有的付款流程都在文件材料上體現(xiàn)出來(lái)。在進(jìn)行評(píng)估時(shí)，相關(guān)文件的不足總是主要的問(wèn)題之一。所以，這項(xiàng)改變也更凸顯了原來(lái)就存在的一個(gè)老問(wèn)題。

第二點(diǎn)，表面上看對(duì)虛擬化進(jìn)行升級(jí)沒(méi)什么危害，可是我們中的大多數(shù)一直面臨著這么一個(gè)問(wèn)題，即虛擬化如何與要求聯(lián)系，例如“一臺(tái)服務(wù)器需具備一項(xiàng)功能”（Requirement 2.2.1）。然而，將“系統(tǒng)組件”的定義擴(kuò)展，使其包括虛擬化組件，從深層來(lái)看似乎有悖于Requirement 2.2.1，而且還會(huì)影響到其他的要求。例如，有些要求和測(cè)試步驟特別指出所涉及的是“所有系統(tǒng)組件”（Requirements 10.6指出， “系統(tǒng)組件的日志至少要每天檢查一次”，Requirement 2.2，“所有的系統(tǒng)組件都需制定配置標(biāo)準(zhǔn)”）。

為“所有系統(tǒng)組件”進(jìn)行定位的Requirements含蓄地表示，系統(tǒng)組件包括虛擬環(huán)境，測(cè)試步驟也是如此。因此，測(cè)試步驟2.2.a（“檢查企業(yè)所有類(lèi)型系統(tǒng)組件的系統(tǒng)配置標(biāo)準(zhǔn)，并核實(shí)這些標(biāo)準(zhǔn)是否與行業(yè)接受的硬性標(biāo)準(zhǔn)相一致”）意味著不僅企業(yè)本身要有一套與虛擬化環(huán)境相關(guān)的硬性標(biāo)準(zhǔn)，企業(yè)的評(píng)審員也要擁有和參考那套標(biāo)準(zhǔn)。而在以前的評(píng)估中，情況并非如此。

總的來(lái)說(shuō)，對(duì)企業(yè)和服務(wù)提供商而言，該標(biāo)準(zhǔn)的這一版本意味著評(píng)估過(guò)程的精簡(jiǎn)，能夠從某種程度上減輕由于實(shí)施PCI DSS規(guī)則遵從而帶來(lái)的負(fù)擔(dān)。不過(guò)，系統(tǒng)組件包括虛擬化組件和升級(jí)所需的文件材料又使評(píng)估過(guò)程變得復(fù)雜了。所以，在企業(yè)第一次進(jìn)行PCI DSS 2.0標(biāo)準(zhǔn)評(píng)估時(shí)，一定要向評(píng)審員說(shuō)明上述兩點(diǎn)的情況。不過(guò)，從現(xiàn)在就開(kāi)始對(duì)企業(yè)現(xiàn)有的控制部署還不能覆蓋的領(lǐng)域進(jìn)行規(guī)劃仍是一個(gè)很不錯(cuò)的策略。

作者：Ed Moyle