又到这个时候了。PCI DSS(支付卡行业数据安全标准)和PA DSS(付款申请数据安全标准)的2.0版本即将登台亮相。在官方“发布”PCI DSS 2.0之前,人们可以通过查看该标准委员会的“更改情况摘要”文件对此次所做的改动进行了解。(编辑注:本文以更改情况摘要中的信息为蓝本。)
站在对 PCI(支付卡行业)进行评估的角度,在对标准所做更改的情况进行具体分析之前,在宏观层次上此次更改体现出两个特征:第一点,更改的幅度相对较小。这一点是人们所没预料到的;该领域不少的专家曾预测新的标准会采用“主要版本/次要版本”的模式来进行发布(与软件产品的发布情况类似)。2008年10月PCI DSS 1.2发布,此后许多人估计今年发布的2.0“主要版本”将会是彻底的改变,但结果却与人们预测的不符。该标准委员会把标准的成熟化作为改动相对较少的原因。因此,企业可以做出这样的预测:未来发布的标准改动将会更少。在过去的五年里,该标注的1.x版本反复出现,导致改动相当大,这使得一些企业遭受了沉重的打击,对他们而言出现上述情况也不失为一件好事。
第二点,更改的执行时间也很合理。换句话说,在企业被要求就它们如何实施了这些标准的更改而进行陈述前,企业还有充分的反应时间。因为这些标准的更改要到2011年才生效,留给他们还有一年的时间。在进行升级评估前,企业还有充分的时间来确保自身的环境处于良好的状态中。
但这些可以带来积极效果的进展不应该成为安全和规则遵从(compliance)管理人员偷懒的借口。尽管大部分的改动意味着控制范围的缩小,但一些较小部分反而会产生更大的冲击。因为这些小部分会涉及到企业目前的业务流程、规则遵从符合的范围,以及企业以往对控制的理解情况。所以,现在正是采取行动、查看更改、对企业的规则遵从计划进行调整的好时机。这时候采取行动将事半功倍。