當實施應用安全項目時，PCI DSS是否是充分的指南?組織是不是應該采取托管PCI合規清單以外的措施? 

[[120196]]

支付卡行業數據安全標準(PCI DSS)列表清單是一個不錯的開始，但它不可覆蓋現代企業中所有的應用安全問題。現在努力于安全方面的項目經理希望咨詢PCI DSS指南，以及一些相關的安全標準，專門深入研究應用安全。謹記，PCI DSS只專注于信用卡，它可能并不適合所有組合的信息安全。

PCI DSS是信息安全的規范框架，它并不是必須特定在應用安全上。PCI DSS的12條標準的真髓是，擁有一個安全的環境來保護敏感的持卡人數據。這些標準由安全策略強制執行，并由不斷出現的漏洞管理和安全測試支持。在某種程度上，這正是組織應用安全項目所需要的。然而，應用安全需要更多的細節，而不是一般的信息風險管理建議。

并于改進應用安全項目的一個***的做法是，審查并遵循PCI安全標準委員會的付款應用數據數據安全標準(PA-DSS)。PA-DSS比PCI DSS更以應用安全為中心。它更加深入到應用安全架構中，特別是一個PA-DSS需求概括了特殊安全控制，來創建并維護安全應用 。

總的來說，PCI DSS對管理信息安全提供了良好的指導。PA-DSS與特定的PCI DSS需求一起創建了整個安全項目。如果你正在尋找另外通用的應用安全框架，我建議OWASP的前十名，和它相關的項目。

充分的應用安全對于不同的人和企業有不同的意義。***，你需要把應用安全看作是信息安全的子集，確保適當的流程和人員都能持續地參與進來。