许多商家正努力实现支付卡行业数据安全标准（PCI DSS），寻找方法，用一部分标准来执行补偿控制，并且避免在这个过程中花费太多的钱。

　　《PCI合规：理解和实施有效的PCI数据安全标准》合著者Anton Chuvakin说：“如果你不同意某个特定的PCI规定，你认为你可以把事情做得更好，这很好，但你必须建立一个补偿控制。”

　　专注于日志、SIEM和PCI DSS标准的独立顾问Chuvakin，还谈到了商家如何能更有效地解决PCI DSS问题，并达到在上周三2010年波士顿SOURCE大会上提出的PCI安全合规标准。这本书的另一位合著者，Branden Williams，以前是PCI合格安全评估员，在RSA大会上担任EMC公司安全部门的安全咨询主任。

　　Chuvakin说，当大多数商家根据PCI DSS标准来开始评估其环境时，他们发现目前的环境和PCI DSS控制执行之间有一定的差距。如果企业要按照PCI DSS执行安全技术，就要准备继续这样做。大多数企业必须明白，PCI DSS是基础，不是最高标准。公司应努力超越这个基准，并确保一直遵守PCI安全合规倡议。

　　Chuvakin说，“如果你认为合格安全评估员是你的敌人，你就错过了提高您组织安全的机会。”

　　Williams说，更多企业需要把合格安全评估员当作自己的伙伴，而不是对手。与好的合格安全评估员工作，能得到一个客观的评估。重要的是要选择一个理解业务的合格安全评估员，因为“你不希望有人最终作出的决定，打乱了你的业务。”

　　他说，其他组织将补偿控制当作一个快捷方式。几乎所有的企业在PCI DSS标准合规过程中实施至少一个补偿控制，但在使用这种方法时必须采取谨慎的态度。

　　两位专家呼吁出席者寻找有经验的评审，并避免歪曲公司目前的环境。

　　Williams说，“如果你对待你的合格安全评估员像审计员一样，他们就会询问封闭式问题，你不会成功的，毕竟我们的最终目标是提高整体安全性。”