У розмовній мові часто використовують поняття «PCI DSS сертифікація». Формально процес передбачає оцінювання середовища, підтвердження виконання вимог і оформлення документів про відповідність.
Наразі чинною версією стандарту є PCI DSS 4.0.1. Вона не додала нових вимог порівняно з 4.0, але уточнила окремі положення, зокрема щодо платіжних сторінок, багатофакторної автентифікації та взаємодії зі сторонніми постачальниками.
Етап 1. Визначення платіжного середовища
Компанія має зрозуміти, де саме зберігаються, обробляються або передаються дані карток. До перевірки можуть входити сервери, застосунки, мережеве обладнання, робочі станції, хмарні сервіси та сторонні інтеграції.
Помилка на цьому етапі може призвести до того, що частина платіжної інфраструктури залишиться поза оцінюванням.
Етап 2. Аналіз невідповідностей
Поточні налаштування та процеси порівнюють із PCI DSS вимогами. Компанія визначає, які заходи вже впроваджено, а де потрібні зміни.
Це може стосуватися шифрування, керування доступом, журналювання, оновлення програмного забезпечення, тестування вразливостей або внутрішніх політик.
Етап 3. Усунення недоліків
Компанія змінює інфраструктуру та процеси: обмежує права доступу, оновлює системи, налаштовує моніторинг, проводить сканування, документує відповідальність і навчає працівників.
У PCI DSS 4.x більше уваги приділено не разовій підготовці до аудиту, а постійному контролю. Наприклад, організація має регулярно підтверджувати межі платіжного середовища, аналізувати ризики та відстежувати ефективність засобів захисту.
Етап 4. Вибір способу підтвердження відповідності
Формат залежить від типу компанії, кількості транзакцій, платіжної моделі й вимог банку-еквайра або карткової платіжної системи.
Для частини компаній може бути доступний Self-Assessment Questionnaire – анкета самооцінювання. В інших випадках потрібне повне оцінювання із залученням Qualified Security Assessor, підготовка Report on Compliance та зовнішнє сканування вразливостей через Approved Scanning Vendor.
Етап 5. Оцінювання та підготовка документів
Під час перевірки аналізують технічні налаштування, документацію, журнали подій, результати тестувань і фактичне виконання політик.
Результат підтверджується відповідними документами, наприклад Attestation of Compliance, Self-Assessment Questionnaire або Report on Compliance – залежно від застосованого способу оцінювання.
Етап 6. Підтримка відповідності
PCI Compliance не завершується після проходження аудиту. Інфраструктура змінюється: компанія додає нові платіжні методи, оновлює чекаут, підключає підрядників і змінює внутрішні системи.
Тому контроль доступу, сканування, тестування, перегляд політик і навчання працівників мають відбуватися регулярно, а не лише перед наступною перевіркою.