盡管目前為止大多數(shù)人都意識到滿足PCI DSS合規(guī)的要求是困難的。與其它專注于安全的合規(guī)要求不同，例如HIPAA和SOX，PCI DSS大多數(shù)內(nèi)容是高度規(guī)范性的。鑒于許多其它合規(guī)定義了高級的控制卻沒有足夠的技術(shù)實(shí)施指導(dǎo)，PCI DSS通常用相對復(fù)雜的技術(shù)細(xì)節(jié)來定義可接受的參數(shù)用于需要的控制。

　　這給商家和服務(wù)提供商帶來合規(guī)遵從的挑戰(zhàn)，因?yàn)橐?guī)范的控制給標(biāo)準(zhǔn)之外的情形留下的說明性余地(例如，標(biāo)準(zhǔn)沒有預(yù)見到的情形)相對較小。但是從反方面來看，不太規(guī)范的要求也給自身帶來了許多挑戰(zhàn)。在那種情況下與其說組織受困于處理異常情況，倒不如說組織必須自己判斷如何解決技術(shù)上的要求，牢記不同的評估人員可能對要求有不同的理解。盡管在PCI DSS合規(guī)中很少發(fā)生后面這種情況，但它確實(shí)存在。

　　PCI DSS規(guī)定7(“按照業(yè)務(wù)需要來限制對持卡人數(shù)據(jù)的訪問”)是標(biāo)準(zhǔn)比起其它領(lǐng)域在技術(shù)上不規(guī)范的情形之一。就其本身而言，規(guī)定7對于組織來說可能是最難解決的部分之一，因?yàn)樗麄儽仨氉约簛砼袛嗳绾卧诩夹g(shù)上實(shí)施該控制。

　　規(guī)定7簡要

　　PCI規(guī)定7的意圖十分明確：是圍繞越少的人訪問資源、這些資源受到侵害的機(jī)會(huì)也越小的思想來設(shè)計(jì)的。這不僅包括對數(shù)據(jù)自身的訪問，也包括存儲、處理和傳輸數(shù)據(jù)的系統(tǒng)。該要求指明措施來確保組織根據(jù)最小權(quán)限原則來管理和治理用戶訪問。該原則是定義(并批準(zhǔn))哪些人員需要什么級別的訪問來完成他們的工作，并且在滿足最低的需要前提下限制他們對系統(tǒng)的訪問。

　　就這些細(xì)節(jié)而言，規(guī)定7由兩部分組成：7.1子規(guī)定義的策略組成和7.2中定義的技術(shù)組成。在策略這面，7.1要求組織維護(hù)書面的數(shù)據(jù)控制策略，從而明確地根據(jù)需要知道原則來限制對系統(tǒng)和數(shù)據(jù)的訪問。更具體地說，規(guī)定7.1通過它的子規(guī)定來要求業(yè)務(wù)解決一些具體的策略領(lǐng)域：7.1.1中的特權(quán)ID(如Administrator)，7.1.2中的基于工作職能/角色的特權(quán)，7.1.3中的管理層批準(zhǔn)文檔和7.1.4中的自動(dòng)訪問控制。從技術(shù)的角度來看，這些標(biāo)準(zhǔn)要求自動(dòng)的訪問控制系統(tǒng)能解決如7.2.1中所有的系統(tǒng)組件， 7.2.2中的基于角色的特權(quán)分配以及7.2.3中的默認(rèn)設(shè)置為“拒絕”(不允許訪問)。

　　意圖很明顯，但是如同許多商家已經(jīng)經(jīng)歷過的一樣，在實(shí)踐中可以實(shí)施許多不同的方法。

　　滿足標(biāo)準(zhǔn)

　　那么當(dāng)商家和服務(wù)提供商尋求解決這些規(guī)定時(shí)該做什么呢?在PCI合規(guī)策略7.1中定義的規(guī)定應(yīng)該是易懂的。你會(huì)確認(rèn)有一個(gè)成文的數(shù)據(jù)控制策略并解決在7.1中提出的所有要求點(diǎn)。為達(dá)到該目的，該策略必須是清晰的，容易落地的，可用于所有的訪問控制流程和關(guān)注點(diǎn)的沒有歧義的聲明，包括特權(quán)ID、最小權(quán)限、RBAC(基于角色的訪問控制)、批準(zhǔn)流程和使用自動(dòng)化的訪問控制系統(tǒng)(謹(jǐn)慎些，實(shí)際情況可能不止這些。舉例來說，如果你在公司使用Windows域，而在零售店鋪使用單獨(dú)的Unix服務(wù)器，你的策略需要足夠廣泛來同時(shí)解決這些領(lǐng)域，或者你需要有兩個(gè)不同的策略來確保涉及這兩個(gè)領(lǐng)域)。

　　此外，在標(biāo)準(zhǔn)的要求和實(shí)際的策略聲明之間具有一對一的映射是極具優(yōu)勢的。對于那些需要經(jīng)歷年度評估的組織來說，這個(gè)特別重要：要實(shí)行一個(gè)QSA(質(zhì)量保證體系)并在你的整體公司策略內(nèi)搜索這些聲明，就像要求一個(gè)人在草堆里尋找一根針。因此，要知道QSA評估你的公司策略只能到他們所發(fā)現(xiàn)的程度，擁有一個(gè)映射或索引有助于讓評估人員在正確的地方查找。

　　從技術(shù)的立場來看，滿足規(guī)定7.2中列出的技術(shù)規(guī)定，也就是默認(rèn)拒絕訪問和涵蓋所有的組件，對于你來說是重要的。在實(shí)施中，一些公司沒有完全理解這個(gè)事實(shí)，“所有的系統(tǒng)組件”不僅僅意味著POS終端、操作系統(tǒng)或單獨(dú)的支付應(yīng)用。相反，這意味著它所說的那樣：所有的系統(tǒng)組件，范圍內(nèi)的所有系統(tǒng)。這暗示著在一個(gè)技術(shù)層面上不同的訪問控制系統(tǒng)的潛在重疊。

　　舉例來說，一個(gè)N層架構(gòu)的應(yīng)用在每層可能具有不同的用戶/角色/特權(quán)集合?？赡苁窃诓僮飨到y(tǒng)層面的訪問控制(如Windows認(rèn)證)，在數(shù)據(jù)庫層面的(如Oracle認(rèn)證)，和應(yīng)用自身的(如應(yīng)用廠商實(shí)施的控制)。滿足規(guī)定的技術(shù)實(shí)施必須解決這些級別的每個(gè)層面，對于每個(gè)規(guī)定的領(lǐng)域包括：特權(quán)ID、默認(rèn)拒絕訪問、基于許可的角色等等。從好的方面來說，這些系統(tǒng)組件的大多數(shù)訪問控制功能已自然地成為采用技術(shù)的一部分;從不利的方面來說你會(huì)需要單獨(dú)地負(fù)責(zé)每個(gè)系統(tǒng)組件，同時(shí)還要負(fù)責(zé)如何讓所有的組件一起符合一個(gè)技術(shù)層次。

　　對于商家和服務(wù)提供商來說，是否通過每年的評估或是提交一個(gè)自我評估問卷來驗(yàn)證，它需要以條理和全面的方式來滿足規(guī)定，特別是因?yàn)榧夹g(shù)實(shí)施沒有像PCI DSS規(guī)定中一些那樣給出詳盡的說明。