作為支付卡行業的“要求最嚴格的數據安全標準”，PCI DSS發布十余年以來，已在全球范圍內獲得了廣泛認可和實施。但隨著云計算的加速落地，新的問題也隨之出現。在剛剛結束的第五屆互聯網安全領袖峰會（CSS 2019）云安全專場上，騰訊安全重點針對云環境下每個數據安全標準點的責任細分，圍繞公有云范疇，聯合艾特賽克發布《基于PCI DSS 的云用戶數據安全合規白皮書》，希望幫助厘清云用戶和云服務提供商的安全責任，從而清晰、高效地協助云用戶達到基于PCI DSS 的數據安全標準要求。

（《基于PCI DSS 的云用戶數據安全合規白皮書》在CSS 2019云安全專場上發布）

清晰責任分攤，填補數據安全合規標準空白

隨著云計算產業的快速發展，云計算在降低成本，簡化IT 運維和管理，集成的安全性，易于部署，簡化合規流程等方面的優勢越來越明顯，產業互聯網企業越來越多著手通過使用云計算提供的便捷服務來實現業務目標。

而PCI DSS 雖然是支付卡行業的數據安全國際標準，但是該標準圍繞數據安全的核心要求，提出了一整套完整的規范要求，也稱“要求最嚴格的數據安全標準”。發布十余年以來，該標準已經在全球范圍內形成統一標準，并且作為在數據安全合規領域最早的規范要求，獲得了廣泛認可和實施，推動了數據安全防護水平。

但在今天，隨著云計算應用場景的增多，以及威脅呈現出的多樣化趨勢，云用戶和云服務提供商在合規過程中所存在的責任相互交疊部分，也越來越影響數據安全和防護。此外，目前也并沒有一份詳細的針對云環境下每個數據安全標準點的責任細分。

為彌補這一空白，此次騰訊安全發布的《基于PCI DSS 的云用戶數據安全合規白皮書》，基于國際范圍內得到最廣泛認可和運用的數據安全標準PCI DSS，提出了數據安全合規建設的方法論，同時也盡可能詳細地將合規要求落到實處，云服務器租用，特別是“云服務提供商與云用戶的PCI DSS 合規要求責任分析”，詳細詮釋了云服務提供商和云用戶在基于PCI DSS 實施數據安全合規時，逐條闡述了各自責任和具體工作。

推動標準升級，助力企業構建安全核心競爭力

在本屆互聯網安全領袖峰會上，騰訊公司云與智慧產業總裁湯道生曾表示，產業安全降本增效價值逐步顯現，已成為數字時代企業核心競爭力之一。

然而對處于產業數字化轉型期，普遍面臨人才匱乏、技術短缺、經驗匱乏的企業而言，如果通過上云構建新的競爭力，應對日益復雜的業務場景安全需求，依舊是最大的痛點和難題。同時，隨著監管升級，企業在選擇云平臺的時候，不僅要考慮合規需求，還要考慮如何厘清責任界線，明確合作雙方的責任劃分。

在騰訊副總裁丁珂看來，借助成熟的平臺和行業經驗，無疑是這些企業加速數字化轉型的最佳選擇。“在消費互聯網時代，騰訊致力于為用戶提供可靠的安全產品和服務，做用戶安全的守護者；在產業互聯網安全時代，我們定位為產業數字化升級的安全戰略官，致力于幫助我們的企業客戶，在數字化轉型的過程中系統化的構建安全能力，同時滿足成本和效率兩方面的平衡。”

憑借騰訊20年的安全經驗和積累，騰訊安全為云平臺搭建了強大的縱深安全防御體系，數據安全一直是其中至關重要的一環。事實上，早在2017 年12 月，騰訊就已經在《騰訊云數據安全白皮書》中，明確提出了云端數據保護責任模型。騰訊云負責云平臺的安全，并協助客戶保障其云端數據的安全。為了更好地保護客戶托管于云端的數據資產，騰訊云從平臺層和賦能層兩個層面為云服務客戶提供雙重保障。平臺層提供的保障全面覆蓋數據安全事前防范、事中保護和事后追溯三個階段，而賦能層則圍繞數據全生命周期給出一站式的解決方案供客戶選用，以幫助客戶最大程度地降低在流程、技術以及合規方面的數據安全風險。

而《基于PCI DSS 的云用戶數據安全合規白皮書》中也指出，通過云服務提供商和云用戶在PCI DSS 合規過程中的詳細責任分析，云用戶將會清晰了解如何更好地利用云服務提供商所提供的合規產品，幫助云用戶高效、快速地達到PCI DSS 的標準要求，同時云服務提供商也能依據責任分攤模型，更高效地改善云產品并提高服務水平。此外，該白皮書內也清晰的羅列了騰訊云復合PCI DSS 標準要求的產品，云用戶可通過選擇合適的產品縮短PCI DSS 合規時間周期同時可降低運維復雜度和成本。