最近，支付卡行业数据安全标准（PCI DSS）更新到新版本——PCI DSS 3.0。在某些领域，新要求可能会影响支持该标准的商家和服务提供商（云计算及其他服务）的合规计划。其中，与云计算相关的受影响最大的领域是，持卡人数据环境（CDE）与云计算交互使用的情况。

商家将会发现，云计算中的PCI DSS合规一直是很复杂且具有挑战性的话题，以至于PCI安全标准委员会发布了一整份文档来描述如何在PCI环境下使用云计算。然而，PCI 3.0有几个方面可能让这个已经很复杂的情况变得更加复杂。这并不是因为3.0版本有新语言或专门应对云计算情况的新要求（事实并非如此），或者因为它取代了上面提到的指导文件（并不存在）。相反，这种混乱是因为一些新要求所产生的影响，对于云计算来说很难解决和维护。

PCI DSS 3.0有什么不同？

对于在PCI监管的基础设施中的云计算的使用，PCI DSS 3.0有三个新要求与之最为相关：

• Req. 2.4：“对PCI DSS范围内的系统组件进行库存管理。”
• Req. 1.1.3：“显示跨系统和网络所有持卡人数据流的当前视图。”
• Req. 12.8.5：“明确哪些PCI DSS要求由每个服务提供商管理以及哪些由企业实体管理。”

值得注意的是，这些并不是唯一的新要求，它们也不是对在PCI环境中使用云计算的唯一要求。然而，对于正在使用云计算并已经建立了PCI合规来解决CDE内的使用的企业而言，这三个要求可能在未来几个月中会造成很大的混乱。了解这里的原因需要更深入到每一个要求。

盘点和IaaS

利用云计算的企业必须要注意的第一个要求是盘点系统组件。PCI DSS标准在PCI 3.0文档的第10页描述了“系统组件”的含义，但我们想要强调的关键点是它包括了虚拟机。对任何虚拟环境进行过彻底盘查的企业都知道这有多么困难，但请记住，在云计算部署（特别是基础设施即服务）中，这可能比企业直接控制的虚拟环境更加复杂，尤其是当由服务供应商提供支持时。试想一下，服务提供商支持人员决定克隆一个实例来帮助测试补丁兼容性，或者动态地重新定位镜像来响应性能瓶颈问题。这意味着客户现在必须更加勤奋地追踪CDE内实例的创建和销毁，以保持库存的更新。

为了做好准备，企业有几种选择。最坏的情况下，大多数IaaS供应商将会提供其环境中镜像的原始清单以便进行计费，或者通过其控制面板提供清单。虽然这个清单可能不是企业想要的（例如，它并不会显示镜像的目的或者其中有何软件），但至少这是一个开始。如果你的企业有来自服务提供商的专门技术人员来支持你的账户（例如你是特定供应商的大客户），在创建库存清单时考虑列出供应商的帮助支持。如果你不是大客户或者你的云服务提供商不合适（或成本太高），考虑采用自动化功能；例如，在你的虚拟“黄金镜像”预配置盘查代理，可能有助于捕捉你不知道的新实例或克隆。

请继续阅读《PCI DSS 3.0：确保云计算合规的三个关键要求（二）》