2014年Verizon PCI合规报告对世界各地的PCI DSS合规状态进行了评估。令人惊讶的是，该报告发现“要求11”的合规率最低，尽管很多安全专业人士认为这是该报告中最直接的规定之一，该要求规定企业应对安全系统和流程定期进行测试。

接下来我们将探讨被Verizon列为‘合规绊脚石’的两个具体领域，以及企业应该如何将它们构建到PCI DSS合规计划中。

渗透测试

安全专业人士都知道，PCI DSS要求企业环境的渗透测试需采用行业公认的方法，例如NIST SP 800-115。并且，这些测试必须至少每年进行一次，而且在持卡人数据环境作出任何重大变更之后必须重复测试。

Verizon发现的第一个问题是，60%的企业未能提供证据证明他们在过去的一年中执行了渗透测试。当涉及PCI合规时，维护渗透测试的文档几乎和实际执行测试同样重要。审计员不会相信你的一面之词，他们希望看到证据。

企业可能会遇到的第二个问题出现在处理渗透测试结果的过程中。PCI要求企业对渗透测试发现的结果采取行动。具体来说，如果测试发现任何可利用的漏洞，企业必须修复问题，然后重复测试。渗透测试周期要到漏洞被修复才完成，渗透测试需要提供系统已修复漏洞的证明书。根据Verizon PCI合规报告，只有44%的企业满足这一要求。

通过确保以符合PCI法律条文的方式执行渗透测试，企业可以避开这些渗透测试的雷区。企业并没有必要聘请QSA或者ASV来执行测试。如果企业使用内部人员，应该确保这些人员符合要求并且独立于工作人员维护系统，同时企业还应该保留渗透测试的证据。企业内符合要求的工作人员应该是内部审计团队的人员。

漏洞扫描

漏洞扫描是很多企业在PCI合规中容易出错的另一个领域。例如，该报告发现，不到一半的企业会执行内部漏洞扫描或由认可的扫描供应商进行外部扫描，这两者都是PCI的必要条件。这些扫描必须在持卡人环境中执行，并可由外部评估人员或者内部员工（不负责维护被扫描系统的人员）进行管理。

对于扫描文档，企业应该保存记录，这些记录需要清楚地展示每三个月的扫描结果。只保留最新的扫描纪录是不够的，因为这只能说明某个时间点的合规率，而不是所要求的全年扫描计划。此外，扫描结果必须清楚明确，必须每个季度进行管理。任何检测到的高风险漏洞都必须尽快修复，并且应该进行后续扫描，直到所有问题得到顺利解决。

Verizon报告并没有详细说明企业未能执行这种测试的具体原因，但这可能是因为记录保存不足；不恰当地使用维护安全控制的人员来进行扫描；或者在问题解决前没有反复进行扫描。现在是一个很好的时机，企业应该检查其扫描程序来确保其中包含关于内部和外部扫描的文档记录。

尽管存在这些问题，在过去一年中，PCI合规世界已经走过了很长的路。Verizon的研究中乐观地指出，企业PCI DSS平均合规水平从2011年的52.9%上升到2013年的85.2%。这是重大的一步，这也是个好兆头，通过强化企业安全状态以及降低代价高昂的数据泄露事故的可能性，PCI DSS正在成为日常操作中的一部分。