【TechTarget中国原创】特别兴趣小组和新技术的研究都可以帮助支付卡行业安全标准委员会（PCI SSC）解决云中的支付卡数据的法规问题。

　　PCI SSC有一个关于虚拟化安全的特别兴趣小组（SIG）。它的终极目标是什么？这个团队要考虑哪些问题呢？

　　Troy Leach：退后一步，我们有一个无线特别兴趣小组，一直在提交新的无线实施指导。它是一个现象文件，我迫不及待要把这些文件放在市场上。它为环境中含有无线的企业、正在做出变更的企业或者正在实施无线的企业都提供了指导。这是很强大的指导，我们希望可以在虚拟SIG中看到同样的效果。

　　我可以假定（虚拟化团队）将围绕虚拟服务器中的保管、规则和责任一系列问题。他们可能会讨论云计算。他们可能讨论虚拟本地网（VLAN）以及网络的虚拟分割是否合适等。它和我们上个月成立的另一个关于作用域（scoping）的SIG很相似。所以当谈到虚拟化的时候应该会有一些重叠。

　　关于作用域（scoping）的SIG只和虚拟化问题有关吗，还是和所有的网络分段问题有关呢？

　　Leach:都是关于作用域（scoping）的问题。这是由商家和特别组织以及他们呢想要如何覆盖这些话题来决定的。他们在分割和减少PCI评估的不同方面有着广泛的兴趣。

　　如果有人走过来对你他他们正在进行运计算，在这个标准中你能给他们指出他们要遵守规则给他们指导吗？

　　Leach:这是个较难的问题。我们有一种RFP所要求的新技术，可以探究这些问题，我们将会研究虚拟化中怎么应用。我们想要对这种技术保密，但是我们认识到有时不能发出一些要求。

　　我们确实有些挑战性的技术。我认为大部分人需要的技术之一是“服务器的主要功能”，以及虚拟化是否在这些操作系统内部创建了足够的分割，然后在每个服务器上实现这种功能。对于很多企业来说这都是很大的挑战。管理程序从一个操作系统转移到另一个操作系统上以及这种层面的杀毒软件是否合适中都存在一些新的工作。这种技术还存在很多挑战，我们希望在今年夏末可以出具一份关于RFP新技术的意见书。

　　在网络分段中存在哪些问题？

　　Leach:我认为很多厂家在分段的时候面对的第一个挑战就是他们不知道他们的持卡人数据存储在哪里。持卡人信息的发现阶段，特别是如果你不熟悉这种发现，就是一种挑战。作为前任首席技术官，我可以说有时我确实不知道市场团队是如何收集信息的，也不知道业务部是服务收集系统管理员和数据库管理所不知道的信息的。我们正在向这个方面努力。很多企业都认识到了安全的重要，并且需要进行一些实践，而不是一年一次的确认。

　　PIN Entry Device (PED)安全项目是正在扩大，将要包括UPT和HSM。这两种新标准是什么？

　　Leach: PED标准现在是一个群，我们有很多这些设备的标准，可以记录PIN交易。这个项目中和无人监看支付设备（unattended payment terminals，UPT）相关的部分关注这类设备的另外的安全要求，例如染料泵和电影售票厅。这些交易都是在没有出纳员的情况下完成的，我们认识到在这类设备上需要有附加的物理和逻辑的安全控制。

　　另外， 硬件安全模板（HSM）是在设备内部的。它管理设备处理PIN的方式。例如，它可以从设备上进入处理器或者acquiring bank（接受信用卡转帐的银行）的时候加密PIN。

　　如果我是个商人，而且我已经安装了这些设备，那么会发生什么呢？

　　Leach:这些要求和PED的要求类似。在这些要求中，这些设备的制造商有责任通过这些要求的验证。很多这些制造商都非常了解这些标准。他们也参与了审查这些标准。所以我们可以预料这些厂商将会很快在实验室中通过这些过程。