美国的支付卡行业数据安全标准（PCI DSS）是一系列规定最低限度安全的指南，旨在保护敏感的信用卡数据。不过Viresh Garg认为，这个标准还概括了一些实际中与最重要的技术和访问相关的策略以及程序，用来决定你的系统里谁有什么，谁做了什么。Garg是Oracle企业经理人团队和Oracle身份识别与法规遵从发起组织的会员。

    在最近一次出席的Oracle OpenWorld会议时，Garg概述了遵从PCI的十项与访问息息相关的控制，并描述了为什么它们在锁定数据和阻止入侵者方面所起的作用是重要的。Garg称，使用工具来确保持续性监控、识别、报告和调查审计线索并进行风险分析的公司正采取正确的步骤来保护其关键数据。

• 数据清理：检测和治理流垃圾帐号和权限。Garg说，一个有效的安全计划始于数据清除。与访问和身份识别相关的数据必须进行清理，以避免重复信息，清除解约的雇员，开始干净的数据。
• 访问控制策略：确定策略和程序确保它们运用于应用程序和数据中心。Garg说，这通常是一个很难解决的领域。商业和IT角色以及所有终端用户的角色需要被确立，以明确谁有访问某些应用和修改某些应用的权限。
• 访问控制过程：审阅帐号和特权，发现谁有访问敏感信息或者进行某些商业程序的权限。
•  物理安全：研究决定公司的访问权证手续。将此程序整合为一个全面的安全指导方针。
•  密码管理：确认当前的密码程序，尽可能地部署一种单独的登记技术。开发一个密码计划，让用户更容易记住他们的密码，从而避免还需要手写记录。
•  基于风险的适应性认证：应采用双因素认证。这样让终端用户采用两种认证方法。一种通常是物理令牌，例如卡；另一种通常是必须记住的，比如安全码。Garg说，这有助于阻止来自潜在入侵者的访问，并向管理员通报欺骗性行为。
• 审计线索：通过收集和保持正确的审计线索，调查人员能够获得系统活动具体时间点的快照(Snapshot)，这对公司非常有利，Garg称。例如，管理员能够查看一年前谁有访问某个应用程序的权限，以此来决定可疑欺骗性行为的来源。
• 报告：通过保留系统日志报告和审阅这些日志，公司能够将风险降低到可接受的水平，Garg说。
• 证明：与用于遵从萨克斯班法案的证明很相似，通过强制实行对用户访问权限进行周期性的审阅，提供证明，符合PCI访问控制标准。公司可以设置一个一个自动审阅的过程，让合适的管理者证明或者拒绝他们部门雇员的访问权限。这使得访问数据保持干净并剔除重复和过时的信息。
• 风险分析：和金融公司实行商业智能解决方案相类似，采用工具来分析审计线索。找到关键基础架构和应用的弱点。