Onde o PCI-DSS tem defeitos e como melhorá-lo

Ariel Silverstone, CISO e Diretor de estratégias de consultoria da Symantec publicou um excelente artigo mostrando, entre outras interessantes visões, diversos pontos do PCI-DSS que dão margens a interpretações incorretas ou que sugerem controles demasiadamente genéricos (sem considerar as diferenças entre os ambientes de implementação, por exemplo). Além disso, cita diversos exemplos de controles que são sugeridos sem maiores explicações, como por exemplo "aplicação de patches até no máximo 1 mes após o lançamento". O Autor questiona por que "1 mes" e nao "1 dia" ou "30 meses" ou "apos testar exaustivamente". O que fazer se temos que aplicar essa regra onde há somente um servidor e onde há centenas deles ?
O artigo vem acompanhado de diversas sugestões para melhorar o padrão e acabar com as inconsistencias apontadas.