盡管目前為止大多數(shù)人都意識到滿足PCI DSS合規(guī)的要求是困難的。與其它專注于安全的合規(guī)要求不同，例如HIPAA和SOX，PCI DSS大多數(shù)內(nèi)容是高度規(guī)范性的。鑒于許多其它合規(guī)定義了高級的控制卻沒有足夠的技術(shù)實施指導(dǎo)，PCI DSS通常用相對復(fù)雜的技術(shù)細節(jié)來定義可接受的參數(shù)用于需要的控制。

　　這給商家和服務(wù)提供商帶來合規(guī)遵從的挑戰(zhàn)，因為規(guī)范的控制給標(biāo)準(zhǔn)之外的情形留下的說明性余地(例如，標(biāo)準(zhǔn)沒有預(yù)見到的情形)相對較小。但是從反方面來看，不太規(guī)范的要求也給自身帶來了許多挑戰(zhàn)。在那種情況下與其說組織受困于處理異常情況，倒不如說組織必須自己判斷如何解決技術(shù)上的要求，牢記不同的評估人員可能對要求有不同的理解。盡管在PCI DSS合規(guī)中很少發(fā)生后面這種情況，但它確實存在。

　　PCI DSS規(guī)定7(“按照業(yè)務(wù)需要來限制對持卡人數(shù)據(jù)的訪問”)是標(biāo)準(zhǔn)比起其它領(lǐng)域在技術(shù)上不規(guī)范的情形之一。就其本身而言，規(guī)定7對于組織來說可能是最難解決的部分之一，因為他們必須自己來判斷如何在技術(shù)上實施該控制。

　　規(guī)定7簡要

　　PCI規(guī)定7的意圖十分明確：是圍繞越少的人訪問資源、這些資源受到侵害的機會也越小的思想來設(shè)計的。這不僅包括對數(shù)據(jù)自身的訪問，也包括存儲、處理和傳輸數(shù)據(jù)的系統(tǒng)。該要求指明措施來確保組織根據(jù)最小權(quán)限原則來管理和治理用戶訪問。該原則是定義(并批準(zhǔn))哪些人員需要什么級別的訪問來完成他們的工作，并且在滿足最低的需要前提下限制他們對系統(tǒng)的訪問。

　　就這些細節(jié)而言，規(guī)定7由兩部分組成：7.1子規(guī)定義的策略組成和7.2中定義的技術(shù)組成。在策略這面，7.1要求組織維護書面的數(shù)據(jù)控制策略，從而明確地根據(jù)需要知道原則來限制對系統(tǒng)和數(shù)據(jù)的訪問。更具體地說，規(guī)定7.1通過它的子規(guī)定來要求業(yè)務(wù)解決一些具體的策略領(lǐng)域：7.1.1中的特權(quán)ID(如Administrator)，7.1.2中的基于工作職能/角色的特權(quán)，7.1.3中的管理層批準(zhǔn)文檔和7.1.4中的自動訪問控制。從技術(shù)的角度來看，這些標(biāo)準(zhǔn)要求自動的訪問控制系統(tǒng)能解決如7.2.1中所有的系統(tǒng)組件， 7.2.2中的基于角色的特權(quán)分配以及7.2.3中的默認設(shè)置為“拒絕”(不允許訪問)。

　　意圖很明顯，但是如同許多商家已經(jīng)經(jīng)歷過的一樣，在實踐中可以實施許多不同的方法。

　　滿足標(biāo)準(zhǔn)

　　那么當(dāng)商家和服務(wù)提供商尋求解決這些規(guī)定時該做什么呢?在PCI合規(guī)策略7.1中定義的規(guī)定應(yīng)該是易懂的。你會確認有一個成文的數(shù)據(jù)控制策略并解決在7.1中提出的所有要求點。為達到該目的，該策略必須是清晰的，容易落地的，可用于所有的訪問控制流程和關(guān)注點的沒有歧義的聲明，包括特權(quán)ID、最小權(quán)限、RBAC(基于角色的訪問控制)、批準(zhǔn)流程和使用自動化的訪問控制系統(tǒng)(謹慎些，實際情況可能不止這些。舉例來說，如果你在公司使用Windows域，而在零售店鋪使用單獨的Unix服務(wù)器，你的策略需要足夠廣泛來同時解決這些領(lǐng)域，或者你需要有兩個不同的策略來確保涉及這兩個領(lǐng)域)。

　　此外，在標(biāo)準(zhǔn)的要求和實際的策略聲明之間具有一對一的映射是極具優(yōu)勢的。對于那些需要經(jīng)歷年度評估的組織來說，這個特別重要：要實行一個QSA(質(zhì)量保證體系)并在你的整體公司策略內(nèi)搜索這些聲明，就像要求一個人在草堆里尋找一根針。因此，要知道QSA評估你的公司策略只能到他們所發(fā)現(xiàn)的程度，擁有一個映射或索引有助于讓評估人員在正確的地方查找。

　　從技術(shù)的立場來看，滿足規(guī)定7.2中列出的技術(shù)規(guī)定，也就是默認拒絕訪問和涵蓋所有的組件，對于你來說是重要的。在實施中，一些公司沒有完全理解這個事實，“所有的系統(tǒng)組件”不僅僅意味著POS終端、操作系統(tǒng)或單獨的支付應(yīng)用。相反，這意味著它所說的那樣：所有的系統(tǒng)組件，范圍內(nèi)的所有系統(tǒng)。這暗示著在一個技術(shù)層面上不同的訪問控制系統(tǒng)的潛在重疊。

　　舉例來說，一個N層架構(gòu)的應(yīng)用在每層可能具有不同的用戶/角色/特權(quán)集合?？赡苁窃诓僮飨到y(tǒng)層面的訪問控制(如Windows認證)，在數(shù)據(jù)庫層面的(如Oracle認證)，和應(yīng)用自身的(如應(yīng)用廠商實施的控制)。滿足規(guī)定的技術(shù)實施必須解決這些級別的每個層面，對于每個規(guī)定的領(lǐng)域包括：特權(quán)ID、默認拒絕訪問、基于許可的角色等等。從好的方面來說，這些系統(tǒng)組件的大多數(shù)訪問控制功能已自然地成為采用技術(shù)的一部分;從不利的方面來說你會需要單獨地負責(zé)每個系統(tǒng)組件，同時還要負責(zé)如何讓所有的組件一起符合一個技術(shù)層次。

　　對于商家和服務(wù)提供商來說，是否通過每年的評估或是提交一個自我評估問卷來驗證，它需要以條理和全面的方式來滿足規(guī)定，特別是因為技術(shù)實施沒有像PCI DSS規(guī)定中一些那樣給出詳盡的說明。