PCI Security Standards Council

Compensationg Controls

Kompenzační kontrola může být zvažována, pokud subjekt nemůže splnit požadavek přesně tak, jak je stanoven, a to z důvodu legitimních technických nebo zdokumentovaných provozních překážek, dostatečně však zmírnil riziko spojené s požadavkem zavedením jiných kontrolních prvků. Kompenzační kontrola musí:

  1. Splňovat smysl a vyhovovat náročnosti původního požadavku PCI DSS;
  2. Poskytovat obdobnou úroveň ochrany jako původní požadavek PCI DSS;
  3. Být „nad a za” dalšími požadavky PCI DSS (ne jen ve shodě s ostatními požadavky PCI DSS); a
  4. Být úměrná dodatečnému riziku způsobenému nedodržení požadavku PCI DSS.

Viz Kompenzační kontrola, Přílohy B a C v Požadavcích a procedurách bezpečnostního hodnocení PCI DSS – informace o využití kompenzační kontroly.