支付卡行业安全标准委员会（PCI）建议：对于连接到移动设备的信用卡读卡器进行的信用卡支付业务，使用点到点加密技术。但是PCI SSC的总经理Bob Russo坚持认为PCI委员会并没有规定移动支付一定要使用该技术。

　　“我们并没有认可任何技术，而是说，‘如果你准备通过加密狗来刷卡，它们也需要进行加密，’”Russo在接受SearchSecurity.com的采访中称，“这是一个建议，如果你打算通过移动手机或者平板电脑来刷卡，那么当然我们要确保任何进入手机的数据都要进行加密。”

　　PCI委员会已经明确表示，不会干涉PCI DSS规定使用特定产品。在2008年，PCI委员会被迫发出PCI DSS要求6.6（关于保护web应用程序免受攻击）的补充澄清。该标准要求至少每年进行一次代码漏洞审查，或者安装web应用程序防火墙。这造成了web应用程序防火墙销量激增，因为商家发现安装防火墙要比执行年度审查更节约成本。澄清建议商家“两手都要抓”以确保合规性，但同时指出代码审查和某些防火墙部署对于某些商家而言并不可行。PCI委员会还警告商家在安装防火墙时，要进行正确的配置和监控。

　　两页的移动支付接受报告于5月16日发布，其中呼吁使用P2P加密硬件（PCI委员会认证读卡器）来确保捕捉点的加密。该建议旨在针对小型企业，包括想在其移动设备使用读卡器的个人等。Russo表示，该文件还要商家参看PCI P2P加密报告，这是加密计划的基础。PCI委员会表示，将会公布认证P2P加密硬件清单。

　　“我们现在打开了一个从未有过的商业新领域，”Russo表示，现在信用卡已经应用到以前没有的领域。”

　　PCI委员会去年对移动支付应用程序发表了一份声明，该声明包括一份清单，确定哪些移动支付应用程序符合其PA DSS要求。另外，保护移动支付交易的最佳做法文件将于今年晚些时候发布。

　　PCI委员会正在准备云计算、电子商务和风险评估的指导文件

　　PCI委员会宣布从6月1日开始接受对2013年研究领域的建议，目前已经有三个志愿特别兴趣小组（SIG）正在研究云计算、电子商务应用和风险评估，委员会将于今年晚些时候发布指导文件。

　　云计算特别兴趣小组为了保护支付数据和减小范围提出建议，在研究不同的云架构模型。指导文件还将解决如何维护和验证不同云计算对PCI DSS的合规情况。PCI委员会去年发布了一份保护虚拟环境中支付数据的报告，报告中警告说公共云、多租户环境正在挑战PCI合规，因为“租户间的物理隔离是不实际的”。该小组计划解决PCI DSS评估范围内的虚拟组件问题，相关报告将于10月发布。

　　电子商务特别兴趣小组正在审查常见电子商务支付应用程序部署情况，以研究如何降低信用卡数据被盗的风险。商家及其电子商务服务供应商的角色和责任同样是研究重点。目前，一些公司在整合web应用程序支付功能与第三方支付处理器，以消除卡存储和减小PCI DSS范围。该小组计划在8月发布报告。