PCI 2.0：不太好的消息

　　关于PCI DSS 2.0的好消息我们的告诫是，该标准的新版本在保持跟进许多新技术方面做的并不好。就新兴的新技术给出指导是具有挑战的，因为就新技术的本身而言它们还没有像成熟的技术那样广泛使用，并且行业还没有就最佳实践达成共识。由于采用新的技术，存在合规要求分裂品牌的风险。

　　请记住，PCI DSS从来不是一个合规程序；它是一个标准基线，用于评估五大信用卡品牌（Visa、MasterCard、American Express、Discover和JCB）的合规性。他们同意使用该标准作为基础来用于各自实际的合规程序。时至今日，这五大主要信用卡品牌仍然保持对合规性的最终决定权，并且当他们觉得适宜时能凌驾于PCI DSS和PA DSS之上实施自己的合规要求。但PCI DSS的初衷是建立贸易商和零售商可以遵守的唯一标准，因为多个标准很难管理和实施。PCI DSS的本意是整合所有程序，缓解实施中消耗的时间。

　　但是五大品牌达成一个核心标准的问题是，对于标准的变化需要经过许多参与者的评审和同意。因为委员会是运作在社区模型之上（鼓励PCI DSS社区所有成员的参与并了解他们的反馈），参与者从五大品牌扩展到社区的所有成员。因为评审和修改PCI DSS的任务十分消耗时间，委员会宣布了三年的修订周期，从今年开始。在IT安全中三年是一个漫长的时间，并且由于技术不断出现，贸易商和零售商需要相应的指导。

　　为解决新兴的技术问题，委员会建立了特别利益组（SIG）来调查新的技术和发布指导文档。当文档完成后，可以在委员会的web站点上作为“信息增刊”来访问。第一期增刊在2008年2月发布并应对要求6.6：代码评审和应用防火墙，紧接着是2008年3月的要求11.3：渗透测试和2009年6月的PCI DSS无线指导。其它特别利益组当前正在致力于预授权、虚拟化和范围的增刊和指导。列表不断增长的增刊来自于品牌自身；一个例子就是2010年7月Visa发布了两个最佳实践文档（当前还处于RFC阶段），同PCI DSS中的PAN 截断和PAN标记化直接相关。

　　多个文档带来的问题是它们正在倒退到 PCI DSS产生之前的情况：也就是一系列没有关联的要求文档而不是唯一的源头。

　　所以概述起来，必须满足PCI DSS合规的实体可以舒口气了。PCI DSS2.0版本没有提出重大的变化；如果组织当前已经满足PCI DSS了，那么对于2.0来说也没有问题。大部分的变化只涉及到重要方面的措辞解释和额外的指导，例如如何有效地限制评估的范围。

　　然而有限的变化带来的代价是：新兴的技术如虚拟化、截断和标记化没有包含在PCI DSS 2.0中。安全标准委员会正采用特别利益组和增刊的方式来应对新兴的技术，这意味这组织必须寻找和参考多个文档来得到全面的指导。Visa发布的用于标记化和截断的最佳实践为脱离SSC和PCI DSS开了先河，使得事情更加复杂化。

　　为了坚持PCI DSS作为唯一标准的初衷，众多品牌和安全标准委员会必须整合文档并删除多余的信息。同时，评审PCI DSS 2.0版本并关注增刊和来自Visa的最佳实践以确保在CDE中使用的所有的技术（成熟的和新兴的）都是满足合规要求的。

　　PCI 2.0为企业带来了哪些好处？

　　PCI DSS 2.0版本的变化及其影响