一个很好的问题，但也许您应该将其表述为“PCI 是否会损害安全性”。

为了回答这两个问题，我将非常粗略地区分两种类型的组织（尽管大多数组织介于这两个极端之间）：

• 具有安全意识的组织，通常执行基于业务风险的分析，拥有全面的 SDL，执行所有正确的动作等。
• 没有安全意识的组织，对他们并非绝对被迫做的任何事情都没有兴趣，尤其是在它不赚钱的情况下。

对于第二组，PCI 在以下方面绝对有很大帮助：

• 意识（现在至少允许有人提及安全性，希望他们都在谈论它）
• 预算——因为否则管理层永远不会分配任何资源来投资任何形式的安全，现在至少他们被迫至少口头上说。
• 最小公分母活动的最小基线。（希望这包括培训开发人员，这比任何法规都更有帮助......）

基本上，它迫使他们承认安全性，并希望从中产生一些额外的好处。

对于第一组，有两个（两个半）主要后果：

• 在某些情况下，组织必须在真正的安全解决方案和符合通用基线 LCD 之间做出选择。
• 预算现在被强制分配给一些对其业务一无所知的外部团体所定义的最小通用基线 LCD。（此预算可能在不同的安全活动/产品/等中更有用）。
• 管理层可以更快地传递任何非 PCI 直接授权的安全投资——“如果他们不需要它/如果它对他们来说足够好，我们为什么要打扰？” 或“如果它很重要，PCI 就会需要它”。

在这种情况下，PCI 弊大于利，因为让它们建立安全性对这些组织来说不是问题。

但是，PCI 合规性的一个好处是全面共享的：

PCI 合规性降低了违规处罚的风险。

您需要注意的第一件事是 PCI DSS 并非旨在保护您的组织。它旨在保护支付网络和支付生态系统。这对许多人来说可能听起来很奇怪，但只要问问 Visa 和 Mastercard。

我同意 AviD 的评论。“PCI 合规性”降低了一些特定风险，并可能使这些组织（没有做任何事情）更加安全。但 PCI 合规性不应成为任何组织的最终目标。

要明确的另一件事是，“PCI 合规性”与以与风险相称的方式实际执行 PCI DSS 的所有要求之间存在很大差异。今天，许多组织都“合规”（或认为他们合规），因为有人对 PCI DSS 的解释不佳，或者因为他们没有进行完整的差距评估。

作为经验，我确实为信用卡处理器工作，PCI 帮助我们

1) 引起高层管理人员的注意（当他们听说我们可能会失去与 VISA 和万事达卡合作的权利时，安全变得很重要）。

2) 安全有机会成为整个公司开发生命周期的一部分，开发人员开始思考 2 次之前给出了一个解决方案，比如“将安全号保存在这个 txt 中，让它在那里，到处乱放，在一个30人使用的桌面”

3) 安全有预算来处理遗留问题，使其合规，重新思考旧解决方案并为旧黑客找到新解决方案

所以在我看来，遵守 PCI 并不会让你的公司更安全，是的，它的主要重点是保护 VISA 和万事达卡，但它会打开一些安全之门，它会给你更多的预算，它可以帮助你审查您的遗留问题，并更加勤奋地处理您的软件开发生命周期。

PCI DSS 帮助 PCI SSC（PCI 委员会）赚钱，而且很多。

它还帮助 PCI SSC 合作伙伴赚钱，而且很多。

它不会以任何特定方式“帮助”安全或安全社区。我可以举出许多例子来说明它如何损害组织的信息安全状况并阻碍他们执行充分的信息安全管理和风险管理的能力。然而，最好的例子是它从好的项目中拿走资金，并将其交付给 PCI SSC 及其合作伙伴（见上文），而这些合作伙伴似乎总是为糟糕的项目提供资金。这也是 SANS 的工作原理。

说 PCI DSS 合规性降低了风险并提高了安全性，就像说 Jenny Craig（或 Weight Watchers）减少了脂肪并提高了幸福感。