29.10.2018
Предположим, вы руководитель или представитель компании. Вы осознаёте, что вашему бизнесу необходимо соответствовать стандарту PCI DSS, и готовы обратиться к аудитору для прохождения сертификации, чтобы выполнить все требования этого стандарта. 
Раз вы читаете эту статью на нашем сайте, это значит, что вы ищете компетентного, профессионального и опытного аудитора. Вы попали по адресу! Но, прежде чем начать консультироваться на тему сертификации и подписывать договор с аудитором, необходимо самостоятельно разобраться в одном важном вопросе. Ответ на этот вопрос поможет сэкономить время, деньги и силы.
Вопрос простой: а что же собственно вы планируете сертифицировать по стандарту PCI DSS?
Самое простое решение - это сертифицировать всю компанию. Но такой подход сделает сертификацию длительной и дорогой.
Почему? Потому что предполагается, что вся компания, весь персонал, все ИТ-системы будут соответствовать требованиям PCI DSS.
Мы, как специалисты, профессионально занимающиеся сертификацией PCI DSS, рекомендуем сделать следующее: необходимо выделить ту часть компании, в которой происходит обработка данных платёжных карт, и подготовить к сертификации по стандарту PCI DSS только эту часть бизнеса.
Для таких действий существует термин – область охвата PCI DSS, на английском языке - PCI DSS scope.
Давайте рассмотрим то, как определить область охвата и тем самым исключить попадание в неё тех ИТ-систем и процессов, которые к платёжным банковским картам не относятся. Это необходимо сделать для сохранения времени и бюджета.
Стандарт PCI DSS определяет область охвата так: все люди, процессы и технологии, участвующие в обработке, передаче или хранении данных платёжных карт. Эта область должна соответствовать требованиям стандарта. 
Рассмотрим ИТ-инфраструктуру. В область охвата входят все серверы, обрабатывающие карточные данные, а также сетевые компоненты, соединённые с ними, либо влияющие на их защищённость. Для того, чтобы сделать область охвата PCI DSS минимальной, мы рекомендуем определить, какие ИТ-системы участвуют в обработке карточных данных. Затем перенести их в отдельный сетевой сегмент и установить между этим сегментом и остальной корпоративной сетью файрвол. Данный файрвол будет блокировать все попытки доступа из общей сети в этот выделенный сегмент.
Таким образом вы создадите так называемую среду обработки данных CDE - Cardholder Data Environment.
В область охвата стандарта PCI DSS, кроме CDE, должны войти также файрвол, который отделяет выделенный сегмент, сетевое оборудование, обеспечивающее коммуникацию между серверами, а также серверы, находящиеся вне CDE, предоставляющие сетевые услуги для карточного процессинга.
Как правило, в охват ещё включаются серверы, предоставляющие услуги DNS, NTP, Microsoft Acrive Directory.
Таким образом вы сможете определить для своего бизнеса область охвата PCI DSS.
Следующий правильный шаг – создание документа, описывающего эту область охвата. Необходимо перечислить все серверы, сетевые компоненты, CDE, подразделение ответственных сотрудников. Этот документ необходимо предоставить аудитору ещё до начала процесса сертификации.
Наличие чётко определенной области охвата, зафиксированной документально, позволит получить адекватную и не завышенную цену на сертификацию. А сама сертификация по стандарту PCI DSS пройдёт с наименьшими ресурсными затратами.
Возможно, у вас возникли вопросы или сложности, или у вас есть сомнение в правильности своих действий, связанных с созданием и описанием области охвата. Конечно же, такое важное дело, как подготовка к сертификации, лучше доверить профессионалам. 
Свяжитесь с одним из наших экспертов в сфере PCI DSS с помощью формы обратной связи, находящейся внизу страницы.
Мы поможем оптимизировать процесс с определением области охвата PCI DSS и проведём сертификацию по стандарту в самые сжатые сроки.