盡管目前為止大多數(shù)人都意識(shí)到滿(mǎn)足PCI DSS合規(guī)的要求是困難的。與其它專(zhuān)注于安全的合規(guī)要求不同，例如HIPAA和SOX，PCI DSS大多數(shù)內(nèi)容是高度規(guī)范性的。鑒于許多其它合規(guī)定義了高級(jí)的控制卻沒(méi)有足夠的技術(shù)實(shí)施指導(dǎo)，PCI DSS通常用相對(duì)復(fù)雜的技術(shù)細(xì)節(jié)來(lái)定義可接受的參數(shù)用于需要的控制。

　　這給商家和服務(wù)提供商帶來(lái)合規(guī)遵從的挑戰(zhàn)，因?yàn)橐?guī)范的控制給標(biāo)準(zhǔn)之外的情形留下的說(shuō)明性余地(例如，標(biāo)準(zhǔn)沒(méi)有預(yù)見(jiàn)到的情形)相對(duì)較小。但是從反方面來(lái)看，不太規(guī)范的要求也給自身帶來(lái)了許多挑戰(zhàn)。在那種情況下與其說(shuō)組織受困于處理異常情況，倒不如說(shuō)組織必須自己判斷如何解決技術(shù)上的要求，牢記不同的評(píng)估人員可能對(duì)要求有不同的理解。盡管在PCI DSS合規(guī)中很少發(fā)生后面這種情況，但它確實(shí)存在。

　　PCI DSS規(guī)定7(“按照業(yè)務(wù)需要來(lái)限制對(duì)持卡人數(shù)據(jù)的訪(fǎng)問(wèn)”)是標(biāo)準(zhǔn)比起其它領(lǐng)域在技術(shù)上不規(guī)范的情形之一。就其本身而言，規(guī)定7對(duì)于組織來(lái)說(shuō)可能是最難解決的部分之一，因?yàn)樗麄儽仨氉约簛?lái)判斷如何在技術(shù)上實(shí)施該控制。

　　規(guī)定7簡(jiǎn)要

　　PCI規(guī)定7的意圖十分明確：是圍繞越少的人訪(fǎng)問(wèn)資源、這些資源受到侵害的機(jī)會(huì)也越小的思想來(lái)設(shè)計(jì)的。這不僅包括對(duì)數(shù)據(jù)自身的訪(fǎng)問(wèn)，也包括存儲(chǔ)、處理和傳輸數(shù)據(jù)的系統(tǒng)。該要求指明措施來(lái)確保組織根據(jù)最小權(quán)限原則來(lái)管理和治理用戶(hù)訪(fǎng)問(wèn)。該原則是定義(并批準(zhǔn))哪些人員需要什么級(jí)別的訪(fǎng)問(wèn)來(lái)完成他們的工作，并且在滿(mǎn)足最低的需要前提下限制他們對(duì)系統(tǒng)的訪(fǎng)問(wèn)。

　　就這些細(xì)節(jié)而言，規(guī)定7由兩部分組成：7.1子規(guī)定義的策略組成和7.2中定義的技術(shù)組成。在策略這面，7.1要求組織維護(hù)書(shū)面的數(shù)據(jù)控制策略，從而明確地根據(jù)需要知道原則來(lái)限制對(duì)系統(tǒng)和數(shù)據(jù)的訪(fǎng)問(wèn)。更具體地說(shuō)，規(guī)定7.1通過(guò)它的子規(guī)定來(lái)要求業(yè)務(wù)解決一些具體的策略領(lǐng)域：7.1.1中的特權(quán)ID(如Administrator)，7.1.2中的基于工作職能/角色的特權(quán)，7.1.3中的管理層批準(zhǔn)文檔和7.1.4中的自動(dòng)訪(fǎng)問(wèn)控制。從技術(shù)的角度來(lái)看，這些標(biāo)準(zhǔn)要求自動(dòng)的訪(fǎng)問(wèn)控制系統(tǒng)能解決如7.2.1中所有的系統(tǒng)組件， 7.2.2中的基于角色的特權(quán)分配以及7.2.3中的默認(rèn)設(shè)置為“拒絕”(不允許訪(fǎng)問(wèn))。

　　意圖很明顯，但是如同許多商家已經(jīng)經(jīng)歷過(guò)的一樣，在實(shí)踐中可以實(shí)施許多不同的方法。

　　滿(mǎn)足標(biāo)準(zhǔn)

　　那么當(dāng)商家和服務(wù)提供商尋求解決這些規(guī)定時(shí)該做什么呢?在PCI合規(guī)策略7.1中定義的規(guī)定應(yīng)該是易懂的。你會(huì)確認(rèn)有一個(gè)成文的數(shù)據(jù)控制策略并解決在7.1中提出的所有要求點(diǎn)。為達(dá)到該目的，該策略必須是清晰的，容易落地的，可用于所有的訪(fǎng)問(wèn)控制流程和關(guān)注點(diǎn)的沒(méi)有歧義的聲明，包括特權(quán)ID、最小權(quán)限、RBAC(基于角色的訪(fǎng)問(wèn)控制)、批準(zhǔn)流程和使用自動(dòng)化的訪(fǎng)問(wèn)控制系統(tǒng)(謹(jǐn)慎些，實(shí)際情況可能不止這些。舉例來(lái)說(shuō)，如果你在公司使用Windows域，而在零售店鋪使用單獨(dú)的Unix服務(wù)器，你的策略需要足夠廣泛來(lái)同時(shí)解決這些領(lǐng)域，或者你需要有兩個(gè)不同的策略來(lái)確保涉及這兩個(gè)領(lǐng)域)。

　　此外，在標(biāo)準(zhǔn)的要求和實(shí)際的策略聲明之間具有一對(duì)一的映射是極具優(yōu)勢(shì)的。對(duì)于那些需要經(jīng)歷年度評(píng)估的組織來(lái)說(shuō)，這個(gè)特別重要：要實(shí)行一個(gè)QSA(質(zhì)量保證體系)并在你的整體公司策略?xún)?nèi)搜索這些聲明，就像要求一個(gè)人在草堆里尋找一根針。因此，要知道QSA評(píng)估你的公司策略只能到他們所發(fā)現(xiàn)的程度，擁有一個(gè)映射或索引有助于讓評(píng)估人員在正確的地方查找。

　　從技術(shù)的立場(chǎng)來(lái)看，滿(mǎn)足規(guī)定7.2中列出的技術(shù)規(guī)定，也就是默認(rèn)拒絕訪(fǎng)問(wèn)和涵蓋所有的組件，對(duì)于你來(lái)說(shuō)是重要的。在實(shí)施中，一些公司沒(méi)有完全理解這個(gè)事實(shí)，“所有的系統(tǒng)組件”不僅僅意味著POS終端、操作系統(tǒng)或單獨(dú)的支付應(yīng)用。相反，這意味著它所說(shuō)的那樣：所有的系統(tǒng)組件，范圍內(nèi)的所有系統(tǒng)。這暗示著在一個(gè)技術(shù)層面上不同的訪(fǎng)問(wèn)控制系統(tǒng)的潛在重疊。

　　舉例來(lái)說(shuō)，一個(gè)N層架構(gòu)的應(yīng)用在每層可能具有不同的用戶(hù)/角色/特權(quán)集合。可能是在操作系統(tǒng)層面的訪(fǎng)問(wèn)控制(如Windows認(rèn)證)，在數(shù)據(jù)庫(kù)層面的(如Oracle認(rèn)證)，和應(yīng)用自身的(如應(yīng)用廠商實(shí)施的控制)。滿(mǎn)足規(guī)定的技術(shù)實(shí)施必須解決這些級(jí)別的每個(gè)層面，對(duì)于每個(gè)規(guī)定的領(lǐng)域包括：特權(quán)ID、默認(rèn)拒絕訪(fǎng)問(wèn)、基于許可的角色等等。從好的方面來(lái)說(shuō)，這些系統(tǒng)組件的大多數(shù)訪(fǎng)問(wèn)控制功能已自然地成為采用技術(shù)的一部分;從不利的方面來(lái)說(shuō)你會(huì)需要單獨(dú)地負(fù)責(zé)每個(gè)系統(tǒng)組件，同時(shí)還要負(fù)責(zé)如何讓所有的組件一起符合一個(gè)技術(shù)層次。

　　對(duì)于商家和服務(wù)提供商來(lái)說(shuō)，是否通過(guò)每年的評(píng)估或是提交一個(gè)自我評(píng)估問(wèn)卷來(lái)驗(yàn)證，它需要以條理和全面的方式來(lái)滿(mǎn)足規(guī)定，特別是因?yàn)榧夹g(shù)實(shí)施沒(méi)有像PCI DSS規(guī)定中一些那樣給出詳盡的說(shuō)明。