【TechTarget中国原创】PCI安全标准理事会共经理Bob Russo说，支付卡行业数据安全标准（Payment Card Industry Data Security Standard，PCI DSS）将在九月发布。

　　“我不能确切地告诉你，它会不会是一次加速，或者是新的版本号码。我认为，它是1.0还是2.0一点也不重要，”Russo说，“它不会很激烈。它是以我们去年的输入为基础的，一半来自于我们的赌金保管者（stakeholders）。”

　　Russo说需要改变和澄清的是无线应用，应用安全和预授权。

　　Russo参加了RSA2008年的会议，在那里上千的安全专家都聚集在一起。PCI和协议遵从问题时参加会议人员的关注的热点。

　　Russo说PCI标准的生命周期是两年，下一个版本将在九月出现。测试版在八月向理事会的500个成员企业发布，理事会的合格安全评估员也会收到，以获得反馈。他们将用30到45天的时间做一个全面检查，” Russo说“这是一个很好的检查和平衡系统。”

　　Russo说，requirement 6.6的附加指南和净化版本在五月份发布，从最佳实践转移到6月30日的强制版本。商家对于PCI 6.6一直很疑惑，它是如何得出的。这一部分，被归入了安全系统和应用程序的开发和维护的主要内容，它将强制保护Wen应用，抵御通过第三方浏览的自定义代码和在Web应用之前的应用层防火墙的安装发动的已知攻击。

　　“将要公布的指南文件会在六月澄清这些问题。” Russo说。

　　理事会最近在它的网站上公布了新的文件，叫做Navigating the DSS，它详细介绍了每一条要求，解释了用意以及如何满足要求。

　　6.6的问题是一个是与否的问题。

　　“我个人喜欢大家都看到基于OWASP的源代码，但是很显然，不可能发生，”Russo在谈到高成本，费时间的手工代码时说。“所以应用防火墙是最好的做法，但是有必要清楚需要什么，这一点很快就会清楚。过去这是最大的问题。”