Позволю не согласиться касательно формального принятия требований аудитором, вероятно такие случаи есть, хоть я с таким и не сталкивался за много лет. Но аудитор обязан подать в отчете достаточно много подтверждений касательно выполнения процессов, а у нормальной аудиторской компании есть внутренний qa который не пропустит «липу», это помимо не готовности большинства аудиторов рисковать статусом qsa в случае расследования по факту инцидента или внутренней проверки платежных систем.
Спасибо за комментарий. Сайт www.pcisecuritystandards.org однозначно стоит прочесть как первоисточник, тут очень много полезных материалов. В статье есть ссылка на данный ресурс.
Что касается сканирований, то есть даже более дешевые аналоги, например www.comodo.com/e-commerce/compliance/pci-compliance.php. Но не для всех подойдет описанное вами решение — это зависит от количества транзакций и объема хранимых карточных данных. В случае значительных объемов (посмотреть требования к уровням можно, например тут ru.wikipedia.org/wiki/PCI_DSS) может потребоваться несколько более сложная процедура подготовки и прохождения сертификации.
Что касается сканирований, то есть даже более дешевые аналоги, например
www.comodo.com/e-commerce/compliance/pci-compliance.php. Но не для всех подойдет описанное вами решение — это зависит от количества транзакций и объема хранимых карточных данных. В случае значительных объемов (посмотреть требования к уровням можно, например тут ru.wikipedia.org/wiki/PCI_DSS) может потребоваться несколько более сложная процедура подготовки и прохождения сертификации.