承接上文《PCI DSS 3.0：确保云计算合规的三个关键要求（一）》

数据流和SaaS

下一个挑战涉及在某些云计算环境中映射数据流，特别是软件即服务（SaaS）。与平台即服务（PaaS）和IaaS不同，在SaaS中，应用本身是一个“黑盒子”，这意味着SaaS客户被故意从应用运行的底层机制屏蔽。例如，当你登录到LinkedIn或Facebook时，你知道你的用户ID穿行在哪台服务器或者多少不同的数据库连接到内部后端环境？你关心吗？或许你不在乎，只要你能正确登录。现在，镜像能解决这个要求，它不仅能了解如何进行整个过程，而且还能记录数据采用的确切路径。

现在，请记住，该标准中并没有说数据流图要“知道不可知的情况”，当企业对远程基础设施没有充分可视性，达到这种详细程度并不总是现实的。在另一方面，图表上有箭头指向互联网称，“PAN发送到远程计费供应商”，并不能达到评估员的标准，所以需要寻找一个中间立场，来彻底满足评估，同时没有那么繁琐，让企业可以实现。对此，你可以从记录你所知道的并让供应商完成测试开始。如果他们不能（或者不愿意）帮助向下钻取以及更详细，请确保记录这个事实。你应该向评估者提供证据证明你已经作出最大努力来收集具体数据，这可以让评估人员了解你已经完全考虑过这个要求。

服务提供商矩阵

PCI总是要求企业检查其服务供应商的PCI合规状态，但现在它还要求企业记录哪些PCI要求由供应商负责，哪些由企业自己负责。

这可能听起来像是一件容易的事，但请记住，云供应商（无论是SaaS、PaaS或者IaaS）以及更传统的服务供应商都属于这一类。这意味着企业现在必须确定谁负责特定的PCI DSS控制：企业还是供应商。虽然一些服务提供商（特别是经常服务于商家社区的提供商）已经有他们所提供的控制的现成的清单，其他提供商可能并不会完全认同特定企业对责任划分的观点。这意味着企业需要与服务提供商反复协商来建立一个双方都同意的清单。

结论

要注意的是，这三个要求并不是PCI DSS为部署云计算的商家带来的唯一变化。然而，对于这些要求，精明的安全和合规从业人员需要做一些准备和前期规划以迎接新标准。