Какие существуют методы проверки соответствия PCI DSS?

Некоторые методы проверки соответствия стандарту PCI DSS:

• Самооценка (SAQ). rtmtech.ru Организация самостоятельно проводит эту процедуру, её результаты — заполненные листы самооценки. rtmtech.ru Отчёт при этом не оформляется, процедура проводится исключительно для самопроверки. rtmtech.ru
• Внутренний аудит (ISA). rtmtech.ru Его проводят штатные сотрудники, у которых есть сертификат PCI DSS. rtmtech.ru Внутренний аудит возможен только в случае первичного аудита QSA. rtmtech.ru По итогам аудита также формируется отчёт о соответствии. rtmtech.ru
• QSA-аудит. rtmtech.ru Внешний аудит, который проводят организации, имеющие соответствующие сертификаты. rtmtech.ru Обязательное условие для проведения QSA — проведение минимум 300 тысяч транзакций за год. rtmtech.ru В рамках аудита собирают свидетельства выполнения или невыполнения требований PCI DSS. rtmtech.ru Для подтверждения собирают скриншоты, фотографии, лог-файлы, выгрузки из систем. rtmtech.ru Также возможен очный аудит в виде интервью, то есть опроса сотрудников проверяемой компании. rtmtech.ru
• Аудит безопасности. habr.com Выполняется дважды. habr.com Первый раз используют автоматический сканер на известные уязвимости, который предоставляет сертифицированная организация ASV (Approved Scanning Vendor). habr.com В случае успешного прохождения этого теста система проверяется на безопасность второй раз экспертами вручную, с вынесением официального заключения. habr.com