04.05.2026

Після успішної сертифікації ISO/IEC 27001 компанії часто планують подальший етап — відповідність вимогам PCI DSS. На перший погляд може здатися, що основну частину роботи вже виконано, і залишилося лише формально підтвердити відповідність аудиту. Однак на практиці цей процес є значно складнішим.

ISO 27001 — лише частина підготовки до PCI DSS

Підготовка до PCI DSS зазвичай триває кілька місяців і передбачає не лише аналіз документації, а й впровадження практичних змін в ІТ-інфраструктурі. Наявність сертифікації ISO 27001 є вагомою перевагою. Однак вимоги PCI DSS потребують додаткових технічних і організаційних змін.
У такій ситуації постає цілком логічне питання: чому сертифікації ISO/IEC 27001 недостатньо для проходження PCI DSS?
Відмінність полягає в різних підходах, закладених у стандартах. Це безпосередньо впливає як на обсяги підготовки, так і на особливості проходження аудиту.

У чому різниця між ISO 27001 і PCI DSS?

ISO/IEC 27001 — це міжнародний стандарт, який формує фундамент системи управління інформаційною безпекою компанії. Він визначає ролі та відповідальність, описує процеси оцінювання ризиків і встановлює правила організації заходів із захисту. Сертифікація за ISO/IEC 27001 підтверджує, що компанія застосовує системний і структурований підхід до інформаційної безпеки, а її процеси відповідають міжнародним практикам.
PCI DSS — це стандарт, орієнтований виключно на захист карткових даних. Він встановлює чіткі технічні та організаційні вимоги, які охоплюють безпеку інфраструктури, налаштування систем і контроль за обробкою та зберіганням карткових даних.

Чому ISO 27001 не гарантує проходження PCI DSS?

1. Різні підходи до визначення області застосування (scope) у PCI DSS В ISO 27001 компанія визначає, що саме входить до сертифікації, тобто обирає обсяг застосування (scope). Це може бути окремий підрозділ або певні процеси, наприклад, HR чи розробка. 
У PCI DSS діє зовсім інший принцип. Потрібно охопити все середовище обробки платіжних даних (CDE), що зазвичай включає не лише основні системи, а й пов’язані з ними мережі, процеси та персонал. Зменшити такий обсяг без внесення суттєвих змін до інфраструктури майже неможливо.

2. Технічна специфічність вимогСтандарт PCI DSS v4.0.1 містить 12 ключових розділів і охоплює близько 250 конкретних вимог — від налаштування мережевого захисту до протидії шкідливому програмному забезпеченню, шифрування даних під час передачі, обробки, зберігання та ведення логів. 
Кожна вимога супроводжується чітко визначеними процедурами перевірки для аудитора, що забезпечують прозорість оцінювання відповідності. Натомість стандарт ISO/IEC 27001 пропонує заходи контролю в межах Annex A, однак не визначає конкретного технічного способу їхньої реалізації. Це дає змогу організаціям гнучко підходити до створення власної системи захисту.

3. Документи vs підтверджена реалізація ISO 27001 передбачає розробку політик, процедур і контролів, однак компанія самостійно обирає інструменти та визначає глибину їхнього опрацювання.
PCI DSS вимагає документування кожної вимоги стандарту, процесів, налаштувань інфраструктури та результатів регулярних перевірок (логів, звітів, записів про тестування), що підтверджують виконання критичних активностей із визначеною періодичністю – від щоквартальних до щорічних перевірок. Іншими словами, формального твердження «ми це робимо» недостатньо – необхідно надати аудитору докази реального функціонування системи захисту.

4. Постійний контроль vs щорічний аудит PCI DSS вимагає не просто щорічної сертифікації, а постійного дотримання вимог протягом усього періоду. Отримання сертифіката не звільняє від подальшого виконання вимог. Контрольні заходи слід проводити регулярно, а через рік необхідно надати аудитору докази їхнього виконання протягом року. 
Наприклад, сканування вразливостей потрібно проводити постійно та повторювати щонайменше раз на квартал, а пентест (тестування на проникнення) — не рідше ніж один раз на рік. Це допомагає системно перевіряти захист і швидко реагувати на зміни в інфраструктурі.

5. Конкретні криптографічні вимогиСтандарт PCI DSS чітко визначає, що саме варто використовувати: сильні алгоритми шифрування (наприклад, AES-256), актуальні версії TLS (1.2 і вище) та відмову від застарілих протоколів на кшталт SSL або TLS 1.0. І найголовніше — усі ці механізми мають працювати, а не залишатися лише на папері.ISO/IEC 27001 не встановлює детальних вимог, а зосереджується на процесах управління криптографічними ризиками. Компанія самостійно оцінює загрози й обирає засоби захисту, які вважає необхідними. 

Як ISO 27001 допомагає підготуватися до відповідності PCI DSS?

ISO 27001 закладає фундамент для подальшої підготовки до впровадження PCI DSS. Наявність сертифікації означає, що компанія вже має системний підхід до управління інформаційною безпекою, що значно спрощує організаційну та процесну частину підготовки до аудиту.
Як правило, на цьому етапі у більшості організацій вже є:● налагоджені процеси управління ризиками;● базові політики безпеки;● навчений персонал;● чіткі процедури реагування на інциденти.
У результаті це дозволяє скоротити терміни підготовки до сертифікації PCI DSS до 50%.

Зробіть наступний крок до PCI DSS разом з експертами GetPCI

ISO/IEC 27001 визначає загальні принципи та методи інформаційної безпеки, а PCI DSS — конкретні вимоги й реальні заходи для захисту карткових даних у критичних системах.
Наявність ISO 27001 ще не гарантує, що ваша компанія готова до PCI DSS. Доведеться пройти етап технічної перевірки, переглянути інфраструктуру та доопрацювати операційні процеси.
Команда GetPCI перетворює складний шлях до PCI DSS на зрозумілий процес. Ми беремо на себе аналіз, ризики та підготовку, щоб ви могли зосередитися на розвитку бізнесу і пройти аудит без зайвих витрат. 
Готові зробити перший крок до відповідності PCI DSS? Звʼяжіться з нами, щоб розпочати підготовку до впровадження аудиту вже зараз.