Kompenzační kontrola může být zvažována, pokud subjekt nemůže splnit požadavek přesně tak, jak je stanoven, a to z důvodu legitimních technických nebo zdokumentovaných provozních překážek, dostatečně však zmírnil riziko spojené s požadavkem zavedením jiných kontrolních prvků. Kompenzační kontrola musí: 1) Splňovat smysl a vyhovovat náročnosti původního požadavku PCI DSS 2) Poskytovat obdobnou úroveň ochrany jako původní požadavek PCI DSS 3) Být „nad a za” dalšími požadavky PCI DSS (nejen ve shodě s ostatními požadavky PCI DSS) 4) Být úměrná dodatečnému riziku způsobenému nedodržení požadavku PCI DSS. Viz Kompenzační kontrola, Přílohy B a C v Požadavcích a procedurách bezpečnostního hodnocení PCI DSS – informace o využití kompenzační kontroly. |