Какие существуют методы проверки соответствия PCI DSS?

Некоторые методы проверки соответствия стандарту PCI DSS:

• Самооценка (SAQ). 2 Организация самостоятельно проводит эту процедуру, её результаты — заполненные листы самооценки. 2 Отчёт при этом не оформляется, процедура проводится исключительно для самопроверки. 2
• Внутренний аудит (ISA). 2 Его проводят штатные сотрудники, у которых есть сертификат PCI DSS. 2 Внутренний аудит возможен только в случае первичного аудита QSA. 2 По итогам аудита также формируется отчёт о соответствии. 2
• QSA-аудит. 2 Внешний аудит, который проводят организации, имеющие соответствующие сертификаты. 2 Обязательное условие для проведения QSA — проведение минимум 300 тысяч транзакций за год. 2 В рамках аудита собирают свидетельства выполнения или невыполнения требований PCI DSS. 2 Для подтверждения собирают скриншоты, фотографии, лог-файлы, выгрузки из систем. 2 Также возможен очный аудит в виде интервью, то есть опроса сотрудников проверяемой компании. 2
• Аудит безопасности. 4 Выполняется дважды. 4 Первый раз используют автоматический сканер на известные уязвимости, который предоставляет сертифицированная организация ASV (Approved Scanning Vendor). 4 В случае успешного прохождения этого теста система проверяется на безопасность второй раз экспертами вручную, с вынесением официального заключения. 4