Russo表示：“基本上这是在解决如何在网络环境下安全操作。”风险评估特别兴趣小组则在解决如何适当地进行和记录年度风险评估，以及如何评估第三方（例如业务合作伙伴）或托管环境的影响。Russo表示，该小组已经完成了第一个草案，为分类和记录资产制定了一个标准方法，并提出了评估资产以抵御风险和漏洞的方法。Russo表示：“这些来自于需要遵守PCI 12.1.2的人们的反馈意见。”该小组同样计划在8月发布报告。

　　下面Russo解释了PCI委员会对移动安全采取的方法，并进一步解释了移动支付的最新指导文件，以及为什么没有特别兴趣小组研究移动安全问题：

　　去年我问了关于移动的问题，你提到移动专案小组将要启动。

　　Bob Russo：我们刚刚发布了关于移动的文件。我们现在打开了一个从未有过的商业新领域，我们有很多收购商希望增加几十万个商家。这个文件为计划使用信用卡支付的商家解释了各种他们需要了解的信息。

　　我认为该文件几乎认同了点到点加密。我知道PCI委员会在过去追捧Web应用程序防火墙（WAF）等技术，但在WAF销售量激增后，PCI委员会开始犹豫对特定技术的批准。是不是如此呢？

　　Russo：正是如此。我们这并不是追捧某个特定的技术，只是说，“如果你打算在加密狗上刷卡，它们需要加密。”

　　该文件建议使用点到点加密，以及点到点加密计划下认证的硬件。

　　Russo：是的，这只是一个建议。如果你打算通过移动手机或者平板电脑来刷卡，那么当然我们要确保任何进入手机的数据都要进行加密。

　　多年以来，移动一直是一个问题。为什么没有针对移动的特别兴趣小组？是否有特殊的原因？

　　Russo：移动存在很多固有的安全问题。从方便的因素来看，人们需要移动性，消费者当然也需要。但我认为当涉及移动时，商家会有些谨慎，只是因为移动非常不安全。如果这是简单的事情，肯定已经出现各种移动安全标准。这不是一个简单的领域，涉及很多不同的因素，例如设备本身在某种程度上并不安全，不足以保护信用卡数据。

　　通过近场通信（NFC）技术，PayPal和谷歌拥有移动支付技术，电信运营商正在推出他们的技术，信用卡品牌商也在推出自己的移动支付解决方案。这是不是让PCI难以妥当地解决这些产品的安全问题？因为他们又推动 PCI DSS，又受限于它，这让人感到困惑。

　　Russo：我要重提我的旧口头禅：如果你正在存储、处理或者传输信用卡数据，不管你是谁，你都要担心安全性以及应对这些标准。不管是收购商，还是供应商，如果他们想要进入这个领域，他们就不得不担心安全性问题，遵守我们的标准。没有人能例外。