PCI DSS 的问题之一是要求要么到位，要么不到位，因此它不是基于风险的方法。双重控制意味着没有一个用户拥有“王国的钥匙”，可以说，密钥加密密钥 (KEK) 可以防止用于数据加密的密钥（我们称之为数据加密密钥或 DEK）出现在清除。

KEK 应始终与 DEK 具有相同或更大的强度 - 我不确定要求是否明确，尽管他们确实建议您符合 NIST 标准（例如 800-57）。我不认为使用 XOR 作为 DEK 的 KEK 会提供这个。

实施双重控制可能很困难——尽管服务可以访问具有单独 RBAC 的分布式关键部分是一个好主意。另一个是在应用程序中使用 KEK，在数据库中使用 KEK 加密 DEK，在应用程序和数据库系统上使用 RBAC。MS SQL 有一个内置的密钥管理系统，使用主加密密钥、数据加密密钥和证书来保护密钥。StrongAuth 也有一个 Lite 加密库来执行此操作。如果您有 QSA，您可以询问他们过去是如何实现这一点的。

很难对 PCI 相关问题给出明确的是/否答案，因为涉及到人工审核员，并且没有统一的标准来做出合规/不合规判断。一位审核员可能会批准您的方法，而另一位可能不会。

3.6.2 安全加密密钥分发

3.6.3 安全加密密钥存储

将您的密钥分成两部分并重新组装它们只会传播问题并产生复杂性。现在您有两个“密钥”，一个已加密，另一个用于解锁第一个密钥的加密。如何保护第二把钥匙？要使系统正常工作，您必须在某处拥有未加密的密钥，或者需要有人 24/7 全天候输入密码。

我将 3.6.2 解释为通过安全方式将您的密钥传输到需要它的地方，而 3.6.3 将您的密钥存储在具有适当访问控制和审核的正确位置。