大家都知道，目前主要的信用卡公司已经进行了委托，所有的会员、商家和服务提供商存储、处理以及传输持卡人数据都必须遵守支付卡行业（Payment Card Industry，PCI）的“十二诫律”——12条最佳做法组成的指南——或者可能的风险处罚，甚至是信用卡权限的终止。另外，到2007年9月30日，所有的二级企业——每年处理15万Visa或者 MasterCard交易的商家或者每年交易量超过一百万的商家——必须遵守这些标准。不幸的是，由于资金数量、时间和精力的要求，遵守PCI DSS的难度非常高。

　　这一系列指南将介绍难度较大的PCI DSS的要求，并提供一些帮助企业遵守PCI DSS规定的技巧。

　　PCI DSS：企业的难点在哪里？　

　　PCI DSS的所有要求的说明都好像相当明确，不像萨班斯法案（SOX）的规定。SOX没有提供如何保护信息资产的任何详细指导，而且可以由企业和法规审计单位自由做出不同的解释。然而，企业仍然觉得遵守PCI DSS很难。在由VeriSign Inc.进行的一项调查中，研究人员发现企业很可能不能遵守PCI要求第三条。评估不成功的企业中有79%不能满足保护存储数据的要求。

第三条：保护存储数据                        79%

第十一条：定期测试安全系统和程序           74%

第八条：向每个访问电脑的人分配单一ID       71%

第十条：跟踪/监控网络资源和持卡人数据      71%

第一条：安装并维护防火墙配置，保护数据     66%

　　为什么这些地方出现问题？

　　尽管PCI DSS非常全面，这些要求中有12个可能出错的地方；任何一条不能满足都表示企业不能遵守法规。另外，即使PCI DSS提供了详细的要求，它还是会被不同类型的企业以不同的方式解读。我们将介绍上面提到的不易遵守的PCI DSS要求，分析为什么有的企业中会产生问题，并讨论解决这些困难可以采取的措施。