当实施应用安全项目时，PCI DSS是否是充分的指南？组织是不是应该采取托管PCI合规清单以外的措施？

　　支付卡行业数据安全标准(PCI DSS)列表清单是一个不错的开始，但它不可覆盖现代企业中所有的应用安全问题。现在努力于安全方面的项目经理希望咨询PCI DSS指南，以及一些相关的安全标准，专门深入研究应用安全。谨记，PCI DSS只专注于信用卡，它可能并不适合所有组合的信息安全。

　　PCI DSS是信息安全的规范框架，它并不是必须特定在应用安全上。PCI DSS的12条标准的真髓是，拥有一个安全的环境来保护敏感的持卡人数据。这些标准由安全策略强制执行，并由不断出现的漏洞管理和安全测试支持。在某种程度上，这正是组织应用安全项目所需要的。然而，应用安全需要更多的细节，而不是一般的信息风险管理建议。

　　并于改进应用安全项目的一个最好的做法是，审查并遵循PCI安全标准委员会的付款应用数据数据安全标准(PA-DSS)。PA-DSS比PCI DSS更以应用安全为中心。它更加深入到应用安全架构中，特别是一个PA-DSS需求概括了特殊安全控制，来创建并维护安全应用 。

　　总的来说，PCI DSS对管理信息安全提供了良好的指导。PA-DSS与特定的PCI DSS需求一起创建了整个安全项目。如果你正在寻找另外通用的应用安全框架，我建议OWASP的前十名，和它相关的项目。

　　充分的应用安全对于不同的人和企业有不同的意义。最后，你需要把应用安全看作是信息安全的子集，确保适当的流程和人员都能持续地参与进来。