Сертифицированные аудиторы и эксперты компании представили обзор стандарта Payment Card Industry Data Security Standard (PCI DSS), требования к его внедрению и процедуры проведения аудита. Первая редакция стандарта PCI DSS была разработана в 2004 г. на основе норм безопасности данных платежных систем Visa, Master Card, American Express, Discover Card и JCB. В сентябре 2006 г. для развития и продвижения стандарта создан специальный совет по стандартам безопасности — PCI Security Standards Council, куда вошли представители перечисленных платежных систем.
Действие PCI DSS распространяется на все организации, применяющие международные платежные системы, которые передают, обрабатывают и хранят данные держателей карт. В зависимости от числа обрабатываемых за год транзакций компании присваивается определенный уровень и выдвигается набор требований по безопасности. Процедуры подтверждения соответствия стандарту предусматривают ежегодное прохождение аудита, ежеквартальное сканирование сети на наличие уязвимостей, а в некоторых случаях — заполнение листа самооценки (Self Assessment Questionauire). Для аудита и ежеквартальных сканирований своих сетей компании должны привлекать стороннюю организацию, имеющую статус Qualified Security Assessor (для аудита) и Approved Scanning Vendor (для сканирования сети). Упомянутые статусы присваиваются советом PCI Security Standards Council, их список размещен на сайте http://www.pcisecuritystandards.org.
Процедура аудита реализуется поэтапно: (1) проверка документов и определение зоны контроля, (2) оценка соответствия на месте, (3) подготовка и распространение отчета и (4) подготовка плана по устранению несоответ-ствий. Зона контроля включает все устройства и сетевые сегменты, где производится обработка или передача данных, содержащих информацию о держателях платежных карт, а также все сетевые сегменты и устройства, подключенные к уже перечисленным (в том числе активное сетевое оборудование). Зона контроля может быть довольно обширна, особенно если внутренняя сеть компании не сегментирована и процессинговый центр не отделен от остальной сети банка внутренними межсетевыми экранами.