支付卡行业数据安全标准（PCI DSS）已经有一段时间没更新了，最后一次比较大的更新还是在2008年10月，但那仅限于更改。上个月在奥兰多支付卡行业委员会议上， PCI安全标准委员会（PCI SSC）推出PCI DSS2.0草案。这份文件是通过PCI DSS两年的生命周期的第一次更迭的结果，其中包括旨在能在可预见的时间内逐步提高标准的反馈渠道。

　　新标准有哪些更新之处？这对中型企业又有什么意义？对于大多数企业来说，答案是一个响亮的“不太多”。如果审查理事会发布的变更摘要的文件，你会发现，文件大部分的改变是你希望在新标准版本看到的对复杂言语的简化并重新措辞。

　　虽然整个PCI DSS 2.0标准没有一个彻底的改变（它将在十月底向世界发布），但是有两个领域应该引起中型企业安全专业人士的关注：有关虚拟化和漏洞评估的需求。我们将在此提示这两个领域的变化。

　　虚拟化和PCI DSS

　　最新标准版本首先解决虚拟化问题不足为奇。变更摘要表明，关于采用服务器虚拟化的组织需要遵循的一些合规性要求，我们将看到一些相关的澄清。自从最初版本PCI DSS的发布，非常特别第2.2.1节中的一个要求已经成为虚拟化倡导者眼中钉。目前该标准的语言要求组织“实施每个服务器上唯一的主要功能”。读取严格时，这种语言似乎禁令在卡处理环境中使用虚拟化技术。

　　我希望在PCI DSS 2.0中这个问题能得到解决。我希望看到虚拟化得到官方的“绿灯”和第2.2.1节被改写成要求每个虚拟机执行一个主要功能，同时允许主机安装虚拟化硬件，让更可能多的人操作系统。这对于一些人是很大的新闻，这些人寻求隔离卡处理功能以及在小型和中型企业中安置完全独立的环境，但以前又无法证明这项大的硬件投资需要为每个功能设置专用服务器。

　　漏洞评估

　　PCI DSS的要求6.2要求组织进行风险评估，以确定新的漏洞。业内专家Evan Schuman报告说，该标准将被修订成需要一个基于风险的方法进行漏洞管理，当然这在过去是一个最佳实践。事实上他写道，草案包括语言“风险排名应基于行业最佳实践。例如，‘高危’漏洞的排名标准可能包括通用基础得分4.0或以上的漏洞评估系统（CVSS）、供应商提供的他们认为很关键的补丁、影响重要系统组件的漏洞”。

　　这似乎是一个向前发展，从基于风险的的角度，这将有助于规模较小的企业靠近PCI DSS。在操作上，这意味着中小企业可以集中更多的时间在真正的重大风险，而不是不得不去努力寻求使用风险较小的。毕竟，这使得花费大部分时间解决一个或两个关键的漏洞变得有意义，而不是侧重于大量的小瑕疵。对于再脆弱性评估上尚未使用风险评级系统的组织，Schuman报告说，你需要遵守2012年6月的新方法。幸运的是，这相当简单，就像所有的商业漏洞管理系统使用一些评量表，往往采用CVSS的行业标准。

　　PA DSS和你

　　随着PCI DSS2.0的公布，SSC还宣布了少为人知的支付应用程序数据安全标准（PA DSS）的变化。虽然这个标准只适用于那些开发的支付应用程序（通常在中型企业内部不这样做）的人，在PA DSS上有一个将使生活变得更简单轻松的非常显著的变化。 变更摘要中陈述到，PA DSS将更新为“与PCI DSS 10.5.3要求保持一致，添加付款申请的不合要求到支持集中记录。”

　　这将解决负责PCI DSS合规性的安全专业人员的一个长期的投诉，即支他们的付系统根本不支持PCI DSS要求的集中记录。当新标准生效后，所有认证的支付应用程序必须包含此功能。您已经被要求使用唯一得到认证的支付应用程序。这个新规则确保那些应用程序将帮助您满足您的合规性要求。

　　摘要

　　对中型企业来说PCI DSS2.0的底线是个好消息。然而许多该领域的人集体屏住他们的呼吸，他们害怕新要求使现有的安全基础设施陈旧，害怕在新技术上需要重大投资。初步迹象显示，修订将使中型企业的生活变得更容易，还能解决一些公开辩论，这些辩论涉及到在PCIDSS中发现的有关要求的措词。语言的变化将解决许多挑剔的纠纷，这些纠纷往往发生在PCI DSS留言板上。当然，我敢肯定这些争端将很快被其他将在PCI DSS3.0中解决的纠纷取代！抛开所有玩笑不谈，禁止在安全领域的任何重要变化，组织采用其业务流程以符合PCI DSS2.0，相信直到下一次2012年10月委员会议，这些要求不会再一次发生改变。我们继续关注十月底的官方发布！