Etap 1. Audyt wstępny

Przeprowadzenie audytu wstępnego (analizy) ma na celu ocenę aktualnego poziomu zgodności systemów informatycznych, procesów i dokumentacji normatywnej klienta z wymaganiami standardu PCI DSS. Na podstawie wyników audytu opracowywane są zalecenia co do przygotowania systemów informatycznych, procesów i dokumentacji normatywnej do pomyślnej certyfikacji na zgodność z wymaganiami standardu PCI DSS. Po przeprowadzeniu audytu wstępnego udzielane jest wsparcie konsultacyjne w celu usunięcia stwierdzonych na tym etapie niezgodności.

Etap 2. Przygotowanie do audytu certyfikacyjnego

Przygotowanie do audytu certyfikacyjnego obejmuje następujące etapy:1) Przeprowadzenie zewnętrznego skanowania podatności sieci (ASV)  2) Przeprowadzenie wewnętrznego skanowania podatności sieci3) Ocena bezpieczeństwa sieci firmowej klienta poprzez wykonanie zewnętrznych i wewnętrznych testów penetracyjnych4) Poszukiwanie nieautoryzowanych punktów dostępu Wi-Fi5) Testy penetracyjne mechanizmów kontroli segmentacji sieci
Zewnętrzne skanowanie podatności sieci (ASV)Zgodnie z punktem 11.2.2 wymagań standardu PCI DSS konieczne jest przeprowadzanie cokwartalnego zewnętrznego skanowania pod kątem luk w zabezpieczeniach sieci. Celem skanowania ASV jest ujawnienie błędów w architekturze i konfiguracji systemów, które można wykorzystać do uzyskania dostępu do systemów, serwerów lub wewnętrznej sieci klienta. Poza zapewnieniem formalnej zgodności ze standardem PCI DSS zewnętrzne skanowanie podatności sieci pozwala na ocenę bezpieczeństwa w zewnętrznych warstwach sieci klienta. 
Wewnętrzne skanowanie podatności sieciZgodnie z punktem 11.2.1 wymagań standardu PCI DSS konieczne jest przeprowadzanie cokwartalnego wewnętrznego skanowania pod kątem luk w zabezpieczeniach sieci wewnętrznej klienta. Celem wewnętrznego skanowania podatności jest ujawnienie błędów w architekturze i konfiguracji systemów, które można wykorzystać do uzyskania dostępu do systemów i serwerów, które przechowują, przetwarzają lub przesyłają dane kart płatniczych. Poza zapewnieniem formalnej zgodności ze standardem PCI DSS wewnętrzne skanowanie podatności pozwala na ocenę bezpieczeństwa systemów wewnątrz firmy klienta. 
Test penetracyjnyZgodnie z punktami 11.3.1 i 11.3.2 wymagań standardu PCI DSS konieczne jest przeprowadzanie zewnętrznych i wewnętrznych testów penetracyjnych co najmniej raz w roku. Testy penetracyjne systemów i sieci to jedna z metod oceny bezpieczeństwa poprzez symulowanie działań intruza. 
Podczas testów ujawniane i sprawdzane są podatności w systemach, które mogły powstać w wyniku błędów programowych i technicznych, nieprawidłowej konfiguracji, niedociągnięć operacyjnych itp. Ponadto testy pozwalają jasno pokazać kierownictwu firmy klienta wykryte luki i znaczenie potencjalnych strat.
Przeprowadzanie testów obejmuje aktywne sprawdzanie podatności systemów informatycznych, które odbywa się wyłącznie po uzgodnieniu z klientem czasu i zakresu takich działań. Często przyczyną występowania podatności w aplikacjach są błędy w oprogramowaniu aplikacji i systemów. Takie błędy można wykryć, testując działające oprogramowanie i korzystając ze specjalistycznych narzędzi (skanerów podatności).
Poszukiwanie nieautoryzowanych punktów dostępu Wi-FiZgodnie z punktem 11.1 wymagań standardu PCI DSS konieczne jest wdrożenie procesu cokwartalnej kontroli istnienia punktów dostępu do sieci bezprzewodowej w pomieszczeniach, w których przechowywane, przetwarzane lub przesyłane są dane kart płatniczych, a także wykrywania i identyfikacji nieautoryzowanych punktów dostępu do sieci bezprzewodowej. 
Po zakończeniu skanowania pomieszczeń dokonywana jest analiza zgromadzonych danych i tworzony jest raport dla klienta. Raport ten zawiera informacje o wykrytych punktach dostępu do sieci bezprzewodowej o określonym poziomie ryzyka. 
Testy penetracyjne mechanizmów kontroli segmentacjiZgodnie z punktem 11.3.4.1 wymagań standardu PCI DSS konieczne jest przeprowadzanie zewnętrznych i wewnętrznych testów penetracyjnych środków kontroli segmentacji sieci dla usługodawców co najmniej dwa razy w roku. Ocena segmentacji sieci to metoda analizy ustawień urządzeń sieciowych w celu weryfikacji segmentacji, jej skuteczności oraz izolacji wszystkich sieci niezwiązanych z przetwarzaniem danych kart płatniczych od środowiska, w którym przetwarzane są te dane. 
Ocena segmentacji przeprowadzana jest zarówno poza firmą klienta, jak i wewnątrz sieci w celu potwierdzenia, że sieć środowiska przetwarzania danych kart płatniczych nie jest dostępna z innych sieci. 
Wyniki oceny segmentacji sieci dostarczają informacji, czy segmentację w firmie klienta przeprowadzono prawidłowo w celu zmniejszenia granic audytu PCI DSS, zgodnie z punktem 11.3.4 wymagań standardu PCI DSS.

Etap 3. Audyt certyfikacyjny PCI DSS

W ramach audytu wykonywane są następujące czynności:

1) Gromadzenie i analiza dokumentacji organizacyjnej i normatywnej oraz informacji o komponentach systemu środowiska Cardholder Data Environment (CDE) klienta
2) Analiza procesów związanych z ochroną i utrzymaniem komponentów systemu CDE
3) Audyt zgodności komponentów systemu CDE klienta z wymaganiami standardu PCI DSS:
• Przeprowadzenie rozmów z pracownikami klienta (w razie potrzeby strony trzeciej) zgodnie z procedurą audytu opracowaną przez konsorcjum PCI SSC i dostosowaną przez konsultanta QSA
• Analiza ustawień i konfiguracji komponentów systemu CDE klienta
• Stworzenie bazy dowodowej zgodności komponentów systemu CDE klienta z wymaganiami standardu PCI DSS
4) Analiza raportów z oceny bezpieczeństwa zewnętrznych i wewnętrznych warstw sieci CDE klienta
5) Opracowanie dokumentów sprawozdawczych dla banków — agentów rozliczeniowych i międzynarodowych systemów płatniczych: Report on Compliance (RoC) oraz Attestation of Compliance (AoC)
6) Przyznanie certyfikatu zgodności z wymaganiami standardu PCI DSS (w przypadku pełnej zgodności z wymaganiami standardu)