22.07.2019
Самому различному современному бизнесу необходимо пройти сертификацию по стандарту PCI DSS. Естественно, что у руководства компаний возникает очень много вопросов. В ходе многочисленных переговоров с заказчиками мы выяснили, что существуют такие вопросы, которые интересуют большинство наших клиентов. 
В этой статье мы решили дать подробный ответ на пять самых распространённых вопросов о стандарте PCI DSS.
Первый вопрос: Нужно ли нам проходить сертификацию PCI DSS, если наша компания не хранит данные платёжных карт?
В стандарте PCI DSS сказано, что его требования распространяются на все компании, которые хранят, обрабатывают, или передают данные платёжных карт. Также требования стандарта распространяются на компании в том случае, если они потенциально имеют возможность любым образом влиять на безопасность данных платёжных карт.
Компания может и не хранить данные платёжных карт, но пройти сертификацию она обязана. Если компания передаёт данные платёжных карт по сети, использует эти данные или может получить доступ к ним, то такая компания автоматически становится участником платёжной системы и должна пройти сертификацию PCI DSS.
Приведём пример для демонстрации подобных случаев. Интернет-провайдер, который предоставляет каналы передачи данных для процессингового центра или дата-центра. На площадке процессингового центра располагаются серверы клиентов, хранящие карточные данные. Данная компания (интернет-провайдер) потенциально имеет доступ к данным платёжных карт, значит, она должна проходить сертификацию по стандарту PCI DSS.
Второй вопрос:Всегда ли нужно приглашать аудитора PCI DSS для прохождения сертификации?
Если у вас небольшая компания, и вы обрабатываете по картам до 300 тысяч транзакций в год, в таком случае можно пройти сертификацию по упрощённой процедуре. Такая процедура подразумевает самостоятельное заполнение простейшей анкеты. Мы называем это сертификацией с помощью самоопросной анкеты.  
Можно не приглашать сертифицированного аудитора, но тогда необходимо иметь в штате своей компании сертифицированного внутреннего аудитора ISA. Будет нелишним заметить тот факт, что обучение и сертификация такого специалиста занимает около двух месяцев, и её стоимость составляет порядка 5-6 тысяч долларов США. 
Есть ещё один ограничивающий фактор. Для проведения платежей необходимо подключить свою компанию к банкам или платёжным шлюзам. А эти организации могут потребовать подписи внешнего аудитора QSA на вашей самоопросной анкете.
Исходя из вышесказанного, сделаем простой вывод: теоретически можно обойтись и без внешнего аудитора, а на практике - выгоднее и проще обратиться к нему, это поможет сэкономить и время, и деньги.
Третий вопрос: Можно ли просто купить сертификат PCI DSS без прохождения аудита?
Наш ответ: НЕТ! 
 Это не потому что аудиторы несговорчивые, а потому что сам по себе сертификат не является подтверждением соответствия стандарту PCI DSS и как документ никакой ценности не имеет.
Компания, успешно прошедшая аудит и сертификацию по стандарту PCI DSS, кроме самого сертификата получает ещё два очень важных документа:1) Аттестат соответствия. Именно его необходимо предоставлять по требованию в банки и платёжные системы. 2) Для маленьких и средних компаний - это самоопросная анкета, а для больших компаний - это отчёт о соответствии. 
Формат этих двух документов жёстко зафиксирован Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). Образцы документов доступны на их сайте, и их можно самостоятельно изучить.
Четвёртый вопрос: Нужно ли пройти сертификацию по стандарту PCI DSS в том случае, если у нашей компании нет никакой ИТ-инфраструктуры?
Только небольшая часть требований PCI DSS относится к ИТ-инфраструктуре. Большая часть стандарта описывает то, как должны быть организованы бизнес-процессы, и говорит о том, как должна быть выстроена система правил и процедур компании.
Даже если в компании нет ни одного компьютера или сервера, но есть сотрудники, которые могут так или иначе получить доступ к карточным данным, значит, должна быть внедрена политика информационной безопасности, реализованы механизмы контроля доступа к карточным данным и пройдена процедура сертификации PCI DSS.
Пример из нашей практики. У нас есть заказчик, сотрудники которого предоставляют услуги аутсорсинга для украинских банков.  В ходе предоставления услуг сотрудникам этой компании необходимо получать доступ к критическим системам банков, которые обрабатывают данные платёжных карт. У этой компании нет ИТ-инфраструктуры. 
Мы провели успешную сертификацию для этой компании. Это произошло благодаря тому, что были корректно выстроены процессы обучения и контроля сотрудников заказчика. 
Так что встречаются случаи, когда компания не имеет ИТ-инфраструктуры, а соответствовать стандарту PCI DSS просто необходимо для осуществления бизнес-процессов.
Пятый вопрос:Сколько времени действует сертификат PCI DSS, и нужна ли повторная сертификация?
Сертификацию по стандарту PCI DSS необходимо проходить ежегодно, при этом повторный сертификат должен быть получен до окончания срока действий предыдущего. Компаниям, которые не желают прерывать период действия сертификата, следует заранее подумать о том, чтобы пройти все процедуры до даты окончания действия сертификата.
Обычно повторная сертификация по стандарту PCI DSS занимает меньше времени, чем первичная. У компании, которая повторно проводит сертификацию для своих клиентов, может действовать система скидок. В нашей компании такие скидки есть, и мы их предоставляем всем клиентам во время прохождения повторной сертификации.
В этой статье мы коснулись пяти самых распространённых вопросов. Конечно, у вас могут возникнуть другие вопросы. Мы предоставим ответ на любой из них. Для этого вам необходимо связаться с нашим консультантом с помощью формы обратной связи.
Авторы статьи: Дмитрий Петращук и Александр Куберский