起因
前几天跟进了项目的 PCI DSS 年审，现场面谈过程中实验室的老师提到了一个关于密钥轮换的整改问题。由于当时面谈节奏比较紧凑而没有深入追问这个问题，今天在思考密钥轮换方案的时候遇到了几个卡点问题，因此想发出来和各位讨论一下 
业务环境
在我们的服务中有一项敏感数据，由于 PCI DSS 规定不能明文存储敏感数据，但是我们某些业务场景中又需要对比这项敏感数据，因此我们目前对这项敏感数据进行了加密哈希计算（HMAC-SHA256）。加密哈希计算时使用到的密钥我们加密后存储在了配置中心中。问题就出在这里：由于这是一把用于加密敏感数据的密钥，因此需要按照 PCI DSS 规定的密钥管理流程进行管理，我们目前唯一欠缺的是对这把密钥的轮换操作/流程，所以实验室老师提出来我们需要针对这把密钥做密钥轮换 
卡点问题1
今天我仔细想了一下密钥轮换的核心目的是什么、为什么需要做密钥轮换。但是从我收集到...