17.04.2019
PCI DSS – это стандарт, который содержит 12 разделов требований. Стандарт разработан таким образом, чтобы затронуть все аспекты информационной безопасности в любой компании.
PCI DSS – это набор лучших практических рекомендаций, существующих на данный момент времени, а выполнение этих рекомендаций поможет защитить компанию от всевозможных атак хакеров и других преступников, промышляющих в киберпространстве.
Общее количество рекомендаций или требований, изложенных в стандарте, составляет 250 пунктов. Сразу выполнить все эти требования - это цель, которую довольно сложно достигнуть. Требования весьма разнообразны и затрагивают самые разные сферы компании:• внутренние бизнес-процессы;• политики и процедуры;• обучение и работа персонала;• различные ИТ-системы. 
В процесс подготовки и прохождения сертификации PCI DSS зачастую вовлекаются сразу несколько подразделений компании. В такой процесс включаются не только подразделения информационных технологий и службы защиты информации, но и отдел кадров, отдел внутренней физической безопасности, топ-менеджмент и другие бизнес-подразделения, которые взаимодействуют с клиентами и держателями платёжных карт.
Стандарт PCI DSS хорошо продуман и требует различных трансформаций внутри компании, поэтому очень редко процесс сертификации проходит быстро и гладко.
Понимая то, с какими трудностями столкнутся компании, cовет PCI DSS предложил поэтапный подход к внедрению требований стандарта. Он подразумевает разбитие всего набора требований на 6 ключевых этапов, которые необходимо пройти. Эти этапы лучше всего проходить последовательно. Они выстроены таким образом, что позволяют сконцентрироваться на самых критичных, с точки зрения безопасности, задачах. 
Сами требования, относящиеся к этим 6 этапам, в стандарте PCI DSS не следуют друг за другом, они разбросаны среди всех остальных требований.
Перечислим эти 6 этапов:1) Удалить все критичные аутентификационные данные карт. Если данные карт необходимы для бизнеса, необходимо хранить эти данные как можно меньший период. Этот этап позволяет сконцентрироваться на защите от взлома ИТ-системы и избежать утечки карточных данных. Золотое правило данного этапа - если данные вам не нужны, не храните их.2) Необходимо обеспечить защиту информационных сетей и систем, а также подготовиться к отражению атак хакеров. Внедрение мер безопасности, входящих в этот этап, позволит обеспечить минимальный уровень защиты для вашей компании.3) Защитить приложения, в которых обрабатываются карточные данные. Следует особое внимание уделить защите платёжных приложений. Сюда входят и веб-портал, и мобильные приложения, и программное обеспечение на рабочих местах менеджеров и операторов.4) Обеспечить постоянный мониторинг доступа к системам. Это позволит своевременно выявить нарушения, как со стороны внешних хакеров, так и собственных сотрудников.5) Надёжно защитить карточные данные, которые хранятся в компании. Выполнение этого этапа предполагает внедрение систем шифрования и управления криптографическими ключами. Ключи, используемые для формирования шифров очень важно корректно формировать, хранить, распределять, уничтожать и контролировать к ним доступ. 6) Этот этап направлен на контроль соответствия стандарту PCI DSS и внедрению в компании процессов, которые позволят предотвратить нарушения и невыполнения требований в дальнейшем. Сначала идёт внедрение требований, а потом постоянное следование им и выполнение этих требований.
Следование по этапам и есть приоритезированный или приоритетный подход в сертификации по стандарту PCI DSS.
Последовательное выполнение и внедрение всего изложенного в этих 6-ти этапах даёт сразу несколько преимуществ:• Готовый план действий по внедрению требований PCI DSS в компанию;• Имея план, проще планировать бюджет и другие необходимые ресурсы;• Использование приоритезированного подхода даёт возможность измерять прогресс всех трансформаций, необходимых для сертификации по стандарту PCI DSS.
Для прохождения всех этих 6 этапов cовет PCI DSS сформировал необходимый шаблон отчёта. Он прост в заполнении, понятен всем аудиторам и может использоваться для демонстрации степени выполнения стандарта PCI DSS.
В нашей практике были случаи, когда компания VISA запрашивала заполненный отчёт по приоритезированному подходу. Это служило своего рода доказательством того, что компания выполняет необходимые требования и делает все шаги для получения сертификата.
Такой подход к сертификации по стандарту PCI DSS является самым эффективным. Поэтому наши специалисты всегда придерживаются его в выполняемых проектах. 
Все наши клиенты после проведения предварительного аудита получают соответствующий отчёт и дорожную карту по приоритезированному подходу.
Вашему бизнесу необходимо пройти сертификацию по стандарту PCI DSS? Связывайтесь с нашими консультантами для быстрой и качественной сертификации по стандарту PCI DSS.