为了澄清虚拟化环境下的标准遵从问题，支付卡行业安全标准委员会(Payment Card Industry(PCI) Security Standards Council)虚拟化小组最近公布了一个虚拟化使用的补充指南，以与PCI DSS v2.0标准保持一致。四项基本原则是：

1、 PCI DSS安全要求适用于保存在虚拟化环境下的持卡人数据;

2、 企业必须评估使用虚拟化技术相关的新风险;

3、 委员会要看到每个与虚拟化环境相关的所有详细信息，包括与支付交易过程和支付卡数据相关的所有交互信息;

4、 没有一种标准能够适合于所有的方法或解决方案，从而使配置的虚拟化环境来满足PCI DSS要求。因此，特定的控制和流程将依环境的不同而有所差别。

包括操作系统、硬件/平台，以及网络等虚拟化的不同层次都在支付环境中有所体现。PCI委员会定义了系统组件，来为每个类型构建不同的虚拟化系统和高级别的PCI DSS范围界定提供指导方针，并为支付卡环境下的虚拟化配置提供操作方法和概念。此外，委员会为特定的混合模式和云计算环境下的特定建议是，IT控制和管理策略应该满足虚拟环境下的PCI DSS要求，并且提供了理解和评估虚拟化环境相关的风险的指导方针。

没有一个标准适合于所有的解决方案，但是….

当新的指导方针依旧还只是停留在技术无限可能性的时候，需要注意的是，并不存在一个统一的标准能够适用于所有的方法和解决方案，从而定型虚拟化环境以符合PCI DSS要求。标准确实唤起了企业对于虚拟化防火墙的需求，以对不同的工作量进行隔离处理;同时也唤起了对于特定入侵监测和入侵预防工具的需求，以监控虚拟化环境下的流量。此外，它还建议公司对虚拟化环境下的服务器管理和安全管理任务分开进行处理，以确保在网络/主机控制中的适度分离，甚至禁止使用基于代理的防火墙。

更进一步，该文件为混合模式的环境(企业在同一个虚拟机上既运行PCI工作量又运行非PCI数据)提供了建议。值得一提的是，它还指出：“在物理世界中，在同一个主机上界定范围内和界定范围外的系统不同层次的细分应该与物理环境中的隔离层次处于相当水平。也就是说，细分必须保证界定范围外的工作量或组建不能被用于访问界定范围内的组件。”

云计算环境又将如何?

如果你的公司正准备配置私有云，那么你将把持卡人数据存储在哪里?如果你正准备考虑迁移到公有云上，这些新的指导方针能够给你什么样的启示?

如果你想使用公有云，那么你需要完全理解云供应商能够提供什么样的服务，并且对使用这些服务的潜在风险进行严格评估。服务供应商有义务清楚地识别PCI DSS要求是什么，哪些系统组件和服务能够涵盖他们的PCI DSS遵从需求。更为重要的是，他们必须提供足够的证据和保障来确保其控制下的流程和组件都符合PCI DSS标准。

如果你选择将PCI工作量运行在多租户的公有云基础设施上，你有责任确保自己选择的供应商采取所有的预防性措施和充分的控制来保护你的数据安全。非常重要的一点是，认识到所有存在的挑战，但也了解并不是所有的云供应商都能够做到PCI遵从规定的保障。他们可能能够提供安全SLA(服务等级协议)和依靠于PCI强制执行，或者你的供应商已经布置相关机制来符合PCI遵从条款。

在私有云上，当然，你具有更强的控制力，姑且不提完全的PCI遵从责任。你能够使用物理网络技术或者专用于虚拟化环境下的技术来将不同的PCI工作量隔离开来。但是，这份新的指导方针中说得非常清楚的一点是——无论你选择私有云还是公有云路径——不要到最后才考虑安全问题。如果事先考虑安全问题，然后再据此考虑其他事项包括不断地通过这些PCI审计。

关于PCI认证

全称Payment Card Industry认证，由VISA、美国运通公司、发现金融服务公司、JCB和万事达国际组织等五家国际信用卡组织联合推出，是目前全球最严格、级别最高的金融机构安全认证标准。PCI-DSS安全认证的主要过程是由PCI安全标准委员会授权完成的一次彻底的在线支付系统安全审查，PCI DSS认证过程须通过自我安全检测、漏洞分析以及由协会执行的安全调查这三个步骤，审查范围包括硬件、软件、工作流程、员工、用户等诸多内容，总共有200项审查项目。