问：法规遵从报告（ROC）是保密的吗？如果公司的法律部门不允许发送合规报告副本，有没有什么东西可以替代ROC的呢？
 
　　答：在我回答这个问题之前，我想回答什么是法规遵从PCI DSS报告（ROC）。根据PCI DSS评估网站所述，ROC是支付卡行业数据安全标准（PCI DSS）评估中常用的术语。支付卡行业数据安全标准是用来评估Visa是否满足商人和服务提供商报告要求的。随着Visa在市场上占有的份额越来越大，ROC在该行业也会变得越来越普遍，其他支付卡也要求报告类似于ROC的报告，如Discover的DISC Attestation of Compliance、美国运通的Annual Executive Summary of Onsite Security Audit Report和MasterCard的Certificate of Validation。

　　ROC被认为是非常敏感的。在我看来ROC应该尽可能的保密。不过，我知道这对受信息自由法（FOIA）要求的公共机构来说是不太可能的。

　　我不知道什么情况下你不用向合法请求机构递交ROC，企业不希望在各种情况下共享ROC这是可以理解的。特别是，如果ROC的结果不是积极的，还有这些信息落入他人之手——一个竞争对手，或者媒体——就可能产生严重后果。

　　值得深思的是：为什么公司法律部门不想或不允许发布ROC副本？也许在了解了它的原因之后你会更容易理解，你也可以确定一个更有效的方法。

　　如果法律部门不想发布ROC副本的原因是因为存在一些不安全的ROC传输方式，那么加密、快递或其他高度安全的方法可能可以解决这个问题。

　　有没有可能让请求机构访问公司ROC存放的位置？在非公开协议（NDA）的支持下，他们可以在企业外部不发布ROC的情况下，审查该文件。

　　请理解，这些答案有些局限性，因为我不清楚所有的情况。但参照上面提出的一些问题应该可以解答你的一些疑惑。