因此，在评估前，可通过QSA进行现场评估或SAQ自我评估，我力荐以下方法：

• 通过计算传输、存储或处理持卡人数据的所有系统来估计PCI的评估范围。在此提醒您，除了交易服务器和网关，通过了未加密卡数据流量的网络设备也包含在评估范围之内。
• 可以试着预测一下，在未经许可的情况下，持卡人数据会存储在您公司的哪些地方。一般易被人们忽略的数据存储地是开发商环境或属于其他业务部门（如营销部门）的服务器。如果每一个开发商工作站由于使用真正的卡数据进行系统测试（顺便说一下，这种做法在PCI DSS中是被明令禁止的。）而成了“范围”的一部分，那么范围在逐渐发生变化的确非常危险。
• 下一步，根据评估范围和手头有的资料，按敏感的数据量对系统进行排名。
• 仔细研究排名后的列表，并试着弄明白你的企业流程如何改变才能避免数据存储，或者在少存储数据的情况下如何经营企业。这是最关键的一步，任何可以被删除（或者一开始就没有存储过）的数据都有助于缩小评估范围，从而使评估过程更加容易。
• 然后，检查一下不能删除的数据，已决定是否能以一个较短的周期进行存储。这样可以降低历史数据遭到损害的风险。
• 考虑使用现代方法保护数据（如标记化），把数据用一串无关紧要的符号来代替，这样可以避免储存数据。
• 最后，逐步检查支付的过程，从而确定哪些部分可以外包给安全支付供应商，这种关系有助于降低风险、缩小PCI的评估范围。实际上，信息安全将永远不会成为大多数商家的核心竞争力。因此，与服务供应商建立关系，比审计跨站点脚本攻击或为安全信息和事件管理（SIEM）产品编写的相关规则更加简单。

　　只有经过上述步骤，你才可以考虑使用各种额外的技术保障措施，如强访问控制和加密技术等，来保护剩下的数据。很可能需要将强访问控制和数据加密技术结合起来保护您的环境。可选的加密技术有：磁盘加密、文件加密（为了保护存储的flat-file数据）和数据库加密（为了保护持卡人数据库）。后者可以进一步分为多种方法来加密数据库中的记录。

　　在信息技术领域有一句常见格言：“加密很容易，密钥管理却很难”。这就是PCI DSS在密匙管理方面制定了那么多条规则的原因。具体来说，要求3.5（“保护好用于加密持卡人数据的加密密钥以防止信息泄露和滥用”）和要求3.6（“全面记录和执行所有用于加密持卡人数据的密钥管理流程”）。这些要求又都具有多个子要求，如3.5.2（“以尽可能少的地点和形式安全存储密钥”）和3.6.6（“分割内容和设立加密密钥的双重控制”）。

　　一定要避免常见的加密失误，如我在有关技术文件中提及的《加密的五大误区》，如把加密密钥与加密数据存储在同一个数据库中，或者在程序代码中嵌入硬编码固定密码。

　　结论

　　一想到简化PCI评估流程、降低支付卡的交易风险，首先要着眼于通过数据删除来缩小范围，然后再采取保护措施。

　　具体来说就是，将更复杂的安全保障（如，数据加密）放到最后去处理。虽然有些人担心外包会有什么风险，但对一些商家而言，将数据外包给安全支付供应商，确保了商家和客户的数据得到更好的保护。至少这可以对最近的“清除数据”方法（如标记化）进行审查。

　　成功评估：PCI DSS标准和安全数据存储（上）