然而，在媒体和用户论坛中不断上升的可能性，云安全将被包括在最近上升的无所不在的付款卡产业的数据安全标准(PCI DSS)中触发争论，保护信用卡数据的设计是否能使云服务变得更不安全。

据451集团的分析师Josh Corman 表示，PCI可以给你一个事情的底线，你可以用来测量安全性，但一些人已经过度使用了PCI。问题是要求得过于具体，仅限于信用卡处理系统中的一部分。假如我在山谷中被枪打中了头颅，但抢劫者也没有抢到我的信用卡，那么PCI标准就算满足要求。

在美国接收信用卡的每个商家都必须遵守PCI规范，因为交易量的上升，将变得更加严格。规范覆盖了12个主要的类别，包括零售点中的信用卡数据加密，传输介于资料交换中心，和信用卡信息数据存储中心的物理安全。     PCI缺乏虚拟化细节

尽管符合PCI的商家并不那么喜欢标准，但是，根据Ponemon研究所09的调查显示，只有29%的商家认为这是一个战略方针。44%的商家认为这将提高安全性和60%的商家认为可以帮助缓解预算短缺。

Fraunhofer信息技术安全研究所9月份的研究显示：中小型企业实际上已经把安全性移入云中，作为专业性的管理和安全。

Corman表示：“当今，从理论上没法知道是否一个安全的系统可以传输基于云的PCI审计，因为这里没有任何种类的虚拟环境具体标准。”

PCI安全标准委员会已经发布了其标准的升级版，包括如何加强EMV信用卡芯片的远程付款的安全性具体指导。

委员会的总经理Bob Russ表示，委员会将不会提供更多的帮助，如：定义如何确保信用卡，或在虚拟基础设施和云环境中的数据安全。

委员会已经有一个专门负责虚拟化的团队，云计算也是其中的一种，但目前委员会还没有发布云计算单独指导的任何计划。[NextPage]Corman 表示：“2年前，他们就计划在最新版的标准上进行虚拟化。如果他们还没有覆盖基于x86的虚拟服务器，他们最近也不会向云技术进发。     两选一标准

很多IT业界从业者质疑PCI的云角色，并质疑是否对云安全标准有需求。IEEE和云安全联盟在3月份的调查发现82%的IT专业人士认为针对云安全标准的需求非常紧急。

PCI是最大的推动者，但就算非零售商引用ISO的信息安全管理标准，欧洲数据隐私法律，和美国联邦法规包括萨班斯•奥克斯利法案（Sarbanes-Oxley）和健康保险流通与责任法案（HIPAA），两个法案中都没有与虚拟化环境和云环境类似的法规。云安全联盟已经发布了很多指导规则，包括云控制矩阵是为了帮助企业衡量云服务，并根据可用的安全控制而设计的。

Verisign公司委托和认证服务产品开发副总裁Nico Popp表示，如果你在云中有任何类似于PCI的东西，那么至少你可以有一个通用的基础途径来判定用户数据的安全保护和细节。目前没有人证实了这点，每个公司都是从简单粗糙的服务开始的。Verisign公司委托和认证服务产品开发部也负责开拓其公司的云业务。

Niche的玩家包括Clone Systems，该公司承诺PCI将适用于私有云平台。

云提供商Terremark表示，用户可以通过其托管服务定位PCI顺应系统，尽管并没有承诺其企业云可以定位准确。

据云提供商Terremark的客户服务开发部高级副总裁表示：“这不意味着安全性不存在，仅仅一个没有定义的规格书不能满足全部的需要。”

所以云提供商不再为了使担心公有云安全的用户放心，而提供他们所有的证书和具体安全注意事项。

Drumgoole表示：“可笑的是我们一直没有与客户进行云对话，虽然我们有安全会话。我们必须保证用户关注云，而不把入驻云视作一件神奇的事情，并不用担心安全问题。基础设施作为服务，但现在就类似于其他的基础设备一样还不够安全，经常是比PCI HIPAA和FISMA等标准更高的标准。

Corman表示：“PCI安全性比价非常低，但也对很多人来说也是非常昂贵的。对很多公司来说成本都是非常高的，要服从预算的最高使用率，这样将成为你最低的标准。（编译：Alice He)