04.05.2026

После успешной сертификации ISO/IEC 27001 компании часто планируют следующий этап — соответствие требованиям PCI DSS. На первый взгляд может показаться, что основная часть работы уже выполнена, и осталось лишь формально подтвердить соответствие стандартам. Однако на практике этот процесс более сложный.

ISO 27001 — лишь часть подготовки к PCI DSS

Подготовка к PCI DSS обычно занимает несколько месяцев и включает не только анализ документации, но и реализацию практических изменений в IT-инфраструктуре. Наличие сертификации ISO 27001 является существенным преимуществом. Однако требования PCI DSS требуют дополнительных технических и организационных изменений.

В такой ситуации возникает вполне логичный вопрос: почему сертификации ISO/IEC 27001 недостаточно для прохождения PCI DSS?

Разница заключается в разных подходах, заложенных в стандартах. Это напрямую влияет как на объемы подготовки, так и на особенности прохождения аудита.

В чем разница между ISO 27001 и PCI DSS?

ISO/IEC 27001 — это международный стандарт, который формирует основу системы управления информационной безопасностью компании. Он определяет роли и обязанности, описывает процессы оценки рисков и устанавливает правила организации мероприятий по защите. Сертификация ISO/IEC 27001 подтверждает, что компания применяет системный и структурированный подход к информационной безопасности, а ее процессы соответствуют международным практикам.
PCI DSS — это международный стандарт, ориентированный исключительно на защиту данных платежных карт. Он устанавливает четкие технические и организационные требования, регулирующие безопасност

Почему ISO 27001 не гарантирует прохождение PCI DSS?

1. Разные подходы к определению области применения (scope) в PCI DSSВ стандарте ISO 27001 компания определяет, что именно входит в сертификацию, то есть выбирает область применения (scope). Это может быть отдельное подразделение или определенные процессы, например, HR или разработка.
В PCI DSS действует совершенно другой принцип. Необходимо охватить всю среду обработки платежных данных (CDE), которая обычно включает не только основные системы, но и связанные с ними сети, процессы и персонал. Уменьшить такой объем без внесения существенных изменений в инфраструктуру практически невозможно.

2. Техническая специфика требованийСтандарт PCI DSS v4.0.1 содержит 12 ключевых разделов и охватывает около 250 конкретных требований — от настройки сетевой защиты до противодействия вредоносному программному обеспечению, шифрования данных при передаче, обработке, хранении и ведении журналов.
Каждое требование сопровождается четко определенными процедурами проверки для аудитора, обеспечивающими прозрачность оценки соответствия. Стандарт ISO/IEC 27001 предлагает меры контроля в рамках Приложения A, однако не определяет конкретного технического способа их реализации. Это позволяет организациям гибко подходить к созданию собственной системы защиты.

3. Документы vs подтвержденная реализацияISO 27001 предусматривает разработку политик, процедур и контролей, однако компания самостоятельно выбирает инструменты и определяет глубину их проработки.
PCI DSS требует документирования каждого требования стандарта, процессов, настроек инфраструктуры и результатов регулярных проверок (логов, отчетов, записей о тестировании), подтверждающих выполнение критических действий с определенной периодичностью – от ежеквартальных до ежегодных проверок. Другими словами, формального утверждения «мы это делаем» недостаточно – необходимо предоставить аудитору доказательства реального функционирования системы защиты.

4. Постоянный контроль vs ежегодный аудитPCI DSS требует не просто ежегодной сертификации, а постоянного соблюдения требований в течение всего периода. Получение сертификата не освобождает от дальнейшего выполнения требований. Контрольные мероприятия следует проводить регулярно, а через год нужно предоставить аудитору доказательства их выполнения в течение года.
Сканирование уязвимостей необходимо проводить постоянно и повторять не реже одного раза в квартал, а пентест (тестирование на проникновение) — не реже одного раза в год. Это помогает систематически проверять защиту и быстро реагировать на изменения в инфраструктуре.

Как ISO 27001 помогает подготовиться к соответствию PCI DSS?

ISO 27001 закладывает основу для дальнейшей подготовки к внедрению PCI DSS. Наличие сертификации означает, что компания уже имеет системный подход к управлению информационной безопасностью, что значительно упрощает организационную и процессную часть подготовки к аудиту.
Как правило, на этом этапе в большинстве организаций уже есть:● налаженные процессы управления рисками;● базовые политики безопасности;● обученный персонал;● четкие процедуры реагирования на инциденты.
В результате это позволяет сократить сроки подготовки к сертификации PCI DSS до 50%.

Сделайте шаг к PCI DSS вместе с экспертами GetPCI

ISO/IEC 27001 определяет общие принципы и методы информационной безопасности, а PCI DSS — конкретные требования и реальные меры для защиты карточных данных в критических системах.
Наличие ISO 27001 еще не гарантирует, что ваша компания готова к PCI DSS. Нужно пройти этап технической проверки, пересмотреть инфраструктуру и доработать операционные процессы.
Команда GetPCI превращает сложный путь к PCI DSS в понятный процесс. Мы берем на себя анализ, риски и подготовку, чтобы вы могли сосредоточиться на развитии бизнеса и пройти аудит без лишних затрат.
Готовы сделать первый шаг к соответствию PCI DSS? Свяжитесь с нами, чтобы начать подготовку к прохождению аудита уже сейчас.