Я купил документ «Политики и процедуры безопасности, совместимые с PCI» у pcipolicy. Их письменные политики в порядке. Однако документ не помогает мне в процедурах. Они просто дают те же предложения с https://www.pcisecuritystandards.org/.
У меня вопрос: кто-нибудь когда-нибудь их покупал и насколько они хороши? Я заинтересован в покупке документов на pcipolicyportal, вы предлагаете?
Процедуры, написанные кем-то, кто никогда не видел ваши системы и не имеет представления о том, как вы управляете своими системами, вряд ли будут очень полезны для чего-либо, кроме постановки галочки. Кроме того, в то время как это поле может спросить, есть ли у вас процедуры или нет, если процедуры не отражают то, как вы запускаете свои системы, то QSA, который находится в курсе событий, вероятно, отклонит их.
Вы можете подумать о подходе к созданию процедурных документов в течение нескольких месяцев — каждый раз, когда вы выполняете задачу, документируйте шаги, которые вы предпринимаете.
Процедуры для PCI не обязательно должны быть в заданном формате или стиле, они просто должны показывать достаточно информации, чтобы можно было понять процедуру (например, как вы выполняете исправление системы).
