有N种解读版本

    零售商竭力遵守PCI有好几个原因。一个问题就是，不知道信用卡信息在零售系统（包括每家商店和公司数据中心）中到底是如何流动的、流向了何处。另外，许多零售商运营的遗留架构缺乏足够的安全控制。举例说，信用卡数据可能未经加密就在零售商店和总部之间传送，甚至未经加密就在商店内部的系统之间传达。销售点设备和应用有可能记录或存储信用卡号码和磁条数据，因而这些系统很容易成为窃贼的目标。PCI规定：零售商必须对所有信用卡数据的传送进行加密；而且销售点设备和应用不能存储信用卡数据，要求零售商对基础设施进行升级。

    虽然PCI比其他法案（如《萨班斯－奥克斯利法案》）提供了更具体的指导方针，但零售商老是抱怨：这些指导方针不是过于具体，就是过于含糊。比方说，该标准明确要求使用具有状态数据包检测功能的防火墙。一级零售商PayPal的首席信息安全官Michael Barrett说：“要是我决定使用自认为效果相同的另一项技术，那会怎样？要么你与审查机构大吵一场，要么忍气吞声、照办行事。”

    一级零售商还与QSA就“补偿性控制”（compensating controls）之类的问题发生了冲突――补偿性控制是指用来取代PCI一览表上具体要求的技术或者流程。Barrett说：“我们认为自己的控制足够有效，但它们与标准规定的控制有所不同。所以你会与审查机构争论。这样的事会让人异常恼火。”

    PCI还有一定的主观性，许多人觉得这令人不安。QSA的培训很少为解决这种主观性提供相应的指导方针。一位不愿透露姓名的PCI专家是这样评论培训的：“如果你询问X或者Y是否可以接受，或者如何在Y情况下运用X，对方总是回答‘运用你最好的判断。’”他表示，如果其他同行指出彼此的观点在同一种情况下相差太大，指导人员“除了表示‘尽你所能’，不会回答什么。”

    一级零售商雪佛龙公司的全球信息保护架构师Jay White说：“这个问题涉及到审查人员的解读能力及其水平和技能组合。PCI没必要这么麻烦，但我们明白了这点：我们要帮助审查人员明白我们在怎样符合他们的目标，即使他们一开始并没有看到这点。”

    缺乏指导的这种现状会导致遵守标准的方法大不相同，即使在同一家合格安全评估商的审查人员当中也是如此。有一个案例：有家公司请来了一位PCI专家来监督QSA建议采取的措施。该专家表示，QSA坚持认为这家公司应部署耗资上百万美元的技术性控制措施，实际上只要简单地改一下运营程序，就能解决这个问题。那位专家说：“评估公司随后派了另一个人过来，他居然对自家公司的前一位QSA专家建议采取的措施表示了异议！”

    这种不一致会给一级零售商带来重大影响。如果零售商泄露了信用卡数据，维萨会派一队电子取证安全顾问，查明零售商在数据泄密时是否遵守PCI标准。那位PCI专家说：“要是‘遵守标准’的零售商出现了安全事件，我可以向你保证，我能从标准遵守报告中发现至少一处存在异议。这就为信用卡公司提供了足够大的余地，到时可以把矛头指向零售商或者QSA，认为对方错误地解读了标准。”

    如果被判为未遵守标准，零售商及收单银行就有可能面临巨额罚金，包括提高每笔交易的信用卡处理手续费。要是被判为未遵守标准，考虑对零售商提起诉讼的律师事务所也会成为得益者。