* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

138 Глава 2. Международные стандарты безопасности • наличие политики безопасности и процедур, описывающих типо¬ вые операции обеспечения защиты; • документированное распределение ответственности за различные аспекты обеспечения безопасности, мониторинга и контроля; • наличие программы повышения осведомленности и обучения со¬ трудников в вопросах обеспечения защиты; • проверку сотрудников на благонадежность перед принятием на ра¬ боту; • контроль договорных обязательств в части защиты при передаче данных платежных карт сторонним организациям; • документирование и периодическое тестирование и обновление плана реагирования на инциденты безопасности; • обеспечение круглосуточного мониторинга и реагирования на ин¬ циденты информационной безопасности. Реализация этих требований (в частности — по документированию) достаточно проста по сути, но может быть несколько трудоемка для организаций со слабой нормативной базой по обеспечению безопасно¬ сти. В организациях, где процессы управления безопасностью внедре¬ ны давно, обычно достаточно небольшой доработки существующей до¬ кументации для отражения особенностей требования стандарта PCI DSS. Применение компенсационных мер Применимость стандарта и подтверждение его соблюдения Важной особенностью, необходимой для применения стандарта, яв¬ ляется понимание различий между выполнением требований стандарта PCI DSS и подтверждением выполнения этих требований. Сам по себе стандарт PCI DSS применим ко всем организациям, об¬ рабатывающим или хранящим данные платежных карт (как минимум — PAN). Сюда входят и банки, выпускающие эти карты, и магазины (в том числе веб-сайты), принимающие эти карты к оплате, и многочисленные сервис-провайдеры, участвующие в этом процессе (платежные шлюзы, агрегаторы платежей и т. п.). Очевидно, что часть требований в том или ином случае просто неприменима: ну откуда, например, у маленького