最近美國國會聽證會正在積極討論PCI DSS如何幫助行業發展的議題，眾多業內專家都對PCI表示不滿，并認為這種沒實際作用的標準應該取消。

筆者認為這些業內專家們應該沒有看PCI 安全標準委員會的“Lifecycle Process for Changes to PCI DSS(PCI DSS生命周期計劃)”，如果他們仔細看了的話，他們可能不會這樣認為了。在該計劃中，委員會為PCI標準制訂了長期詳盡的戰略規劃。

通常大家都不愿意投資于長期安全計劃，他們希望能夠獲得立竿見影的效果，盡管事實上他們從沒有在其設計和程序中加入安全概念。很多企業常常忽視安全問題，而只想通過部署安全設備就能夠通過SOX審計員的審核。

在生命周期計劃中，PCI委員會制訂了詳細的24個月的周期，主要包括五個步驟，來確保企業對PCI數據安全標準逐步的、分階段的部署和使用。這五個階段主要包括：部署、反饋、反饋修改、新版本和新版本修訂。委員會還指出，他們也將為PA-DSS(支付應用數據安全標準)和PED(PIN輸入設備)安全要求發布類似的改進周期。

PCI生命周期計劃模仿了Ross Anderson的理念，Anderson認為，雖然大多數基本安全技術(加密技術、軟件可靠性、防篡改、安全打印和審計等)都能夠比較好的理解，但是對于如何有效運用這些技術方面的問題大家的知識和經驗都非常有限。Anderson建議采用以工程為基礎的方法來解決這個問題，而不是簡單的用安全設備來解決這些問題。

2006年9月份發布的PCI 1.1版本受到了廣泛的支持，版本1.2發布于2008年10月，中間為期兩年的時間都在進行安全更新，從這里來看，PCI仍然正在完成市場部署階段。

總體的問題在于，安全和良好的安全總是需要時間的，需要進行分析、反饋評估和理解。并且，完成這些步驟后，企業需要再次重復一遍，因為威脅和漏洞都是動態的，總是隨著時間的推移不斷發生變化。

PCI DSS的妙處在于它擁有很聰明的概念，包括公開正式反饋過程、趨勢分析、影響評價、知道和很多嵌入的結構標準。PCI花費了很長的整體的方法來試圖解決問題。

事實上，在沒有界定“有效運行”概念之前，我們無法回答關于PCI是否有效的問題。最重要的是要記住，PCI是一個長期的戰略解決方案，而不是短期的安全修復項目。

良好的安全性能需要花費時間，PCI安全標準委員會認同這一點，安全專家們也同意這個觀點，難道大家還有異議?