Как выглядят покупатели PCI DSS

В сети Интернет сейчас нетрудно найти большое количество статей, посвященных аспектам выбора компании аудитора на соответствие требованиям стандарта PCI DSS. Но думаю, будет интересным и полезным попытаться осветить и противоположный взгляд, иными словами, постараться очертить портрет покупателей услуг в рамках соответствия PCI DSS. Даже если уровень осведомленности и компетенции покупателя достаточно высок, что является редкостью, то все равно возникает ряд «неожиданных» трудностей.

Первое – это, конечно, финансовый аспект. Мало кто понимает реальный уровень затрат на проект подобного рода, при этом возможно и переоценивает.

Зная текущий уровень информационной безопасности  заказчика, продавец может весьма достоверно предположить перспективы развития в этой области и, как следствие, в сфере выполнения требований PCI DSS.

Но отсюда вытекает еще одна проблема. Это честность продавца. Понимая всю неопределенность ситуации, продавец не редко сталкивается с соблазном слегка ввести в заблуждение покупателя.

Третья проблема – это сроки: практически никогда не получается заранее назвать реальные сроки выполнения проекта. Причина кроется  в неопределенности состава работ.

Или еще одна распространенная проблема. Бизнес идет своей дорогой, стараясь развиваться и продуцировать новые каналы поступления прибыли. И бизнес не может на 6-8 месяцев впасть в спячку, для того чтобы отдел ИБ и ИТ реализовали проект по PCI DSS.