水和油，猫和狗，牙膏和橙汁，底特律狮子和超级碗——有很多东西根本不能很好地混合。现在您可以将Windows XP和遵从性添加到该列表中。

许多公司，无论大小，多年来都依赖于Windows XP，这并不是一个合规问题。然而，2014年4月8日，当微软对该操作系统的支持到期时，这一切都改变了。

据我所知，没有一个主流的遵循框架给出任何具体的声明或指导，将Windows XP标记为不遵循。然而，即使没有这样的公开声明，一个不受支持的操作系统(从定义上讲)也会违反大多数遵从性工作的一些核心原则。

一般来说，像psi - dss、Sarbanes-Oxley (SOX)、健康保险可移植性和可访问性法案(HIPAA)和Gramm-Leach-Bliley法案(GLBA)这样的监管和行业遵从框架并没有提出具体的平台或工具。法规遵循需求通常编写为广泛的指导方针，为安全性和数据保护提供基线，而不支持任何特定的解决方案，也不使用可能在明年过时的技术将法规遵循框架置于角落。

有些需求可能只是简单地指定操作系统必须应用最新的补丁。有人可能会说，只要在4月8日前安装了Windows XP的任何更新，就满足了这一要求，因为这些将是可用的“最新”补丁。这样的论点显然违反了遵从性的精神，即使它没有明确地违反规则的文字。

在某些情况下，可以通过补偿控制来降低风险。表现在英语中,这意味着更频繁的安全配置审计,实现了防护(如防火墙、文件完整性监控、入侵检测/预防,或其他安全工具),或包括补充流程或技术可以用来降低整体风险和合规。

Tripwire的安全研究经理Tyler Reguly指出，对于PCI-DSS来说，没有这样的灰色地带。PCI-DSS批准的扫描供应商(ASV)计划指南第18页规定:“ASV扫描解决方案必须能够验证操作系统已为已知的漏洞打了补丁。ASV扫描解决方案还必须能够确定操作系统的版本，以及它是否是供应商不再支持的版本，在这种情况下，ASV必须将其标记为自动故障。”

根据Reguly的说法，底线是，“现在XP不支持了，它将在PCI ASV扫描上注册为故障。”这将意味着，对PCI-DSS的遵从将不可能适用于运行Windows XP的组织。”

即使我们假设Windows XP由于不受支持而在某种程度上没有违反SOX、HIPAA或其他常见的遵从性框架，但事实是几乎所有公司都在PCI-DSS的管辖之下。PCI-DSS标准适用于存储、处理或传输持卡人数据的所有组织。如今，很少有企业不处理信用卡交易——就连食品卡车和农贸市场都使用Square等工具从智能手机上刷信用卡。

当然，在农贸市场上用iPhone上的Square卖西红柿的人可能没有意识到或不关心他在PCI-DSS的技术指导下。不过，存储、处理或传输持卡人数据的企业确实要遵守PCI-DSS规则，而使用Windows XP将使这些企业面临无法再这样做的风险。