PCI-DSS合规重视的是管理而非技术

PCI-DSS是干什么的不多做介绍了，主要是针对支付卡业务的合规要求，国内目前还不强制要求，但是银联和央行都再搞这类的合规标准了，大致都和PCI类似。

这类认证都是从ISO27001发展而来的，27001是属于业务范围的合规要求，规范了比较宽泛的信息安全的规范，而PCI DSS，SOX等都是基于管理层面的合规要求，大部分检查内容都是基于和支付卡业务相关的内部管理流程和管理内容。

因此在PCI DSS中更加强调的是管理流程和流程中产生的输出物，这2者之中更加重要的是流程是否存在，而非输出物是否最合理。

PCI DSS合规中我们应该根据最佳实践的指导对设计支付卡业务的各个部门进行整改，其中包括生产数据中心，设计卡的操作员，设计到银行清结算的部门等。

从我的实施PCI DSS的经验看来，基于收单接口部门是规范比较模糊的地方，比如PSTN属于合规范围内，移动的cmnet和cnwap都不属于合规范围，专线属于合规范围等。具体的符合性问题做一下pci的check list就比较清晰了。

关于PCI中比较重要的几项技术类检测：

1.渗透测试，一般会由审核机构来进行内部网络的扫描，onsite的。会通过一些扫描工具配合手工进行，比较常用的是nessus。

2.ASV定期测试，ASV测试是从外部进行的扫描，可以购买咨询公司的定期扫描报告，也可以购买一些公司的产品，比如mcafee的PCI DSS的asv价格也相对合理，任何时候都可以发起。ASV扫描必须注意是需要包含支付卡业务这些对外IP的整个网段进行，不可以遗漏IP地址。

3.onsite的数据库敏感信息检查。

4.日志的检查，PCI要求日志统一保存一年，所以准备过PCI的机构最好预算开始收集服务器的日志。保存好最后提供给审核机构。看不看就是他们的事情了，PCI关心的其实是有没有。

今天就写那么多了，PCI内容相对还较为简单，希望大家都可以顺利通过。