Будущее PCI DSS под вопросом?

На портале PCI Security за последнюю неделю было опубликовано пару интересных новостей, которые хорошо отражают процессы, происходящие на Западе по отношению к стандарту PCI DSS. Ситуация очень похожа на то, что у нас происходит с персданными. Есть закон, есть технические требования, есть наказания. Но, во-первых, инцидентов с нанесением реального ущерба субъектам ПДн практически нет (раз-два и обчелся), а во-вторых, сокращения числа утечек ПДн пока не заметно. Базы (а именно это было толчком к созданию ФЗ-152) как продавали так и продают. К PCI отношение аналогичное. Мошенничества как были, так и остались. Так зачем нужен стандарт? Да еще и обязательный, за нарушение которого есть вполне конкретное наказание. Именно эти вопросы задавались на заседании комиссии Сената США. Многие эксперты справедливо замечают, что соответствие ради соответствия никому не нужно. Тем более, что повторная оценка соответствия проходит только через несколько кварталов, а злоумышленники действуют все время между проверками. Налицо конфликт статических требований стандарта и динамических действий хакеров. Наличие же собственных специалистов по безопасности в небольших компаниях - роскошь, которую они не могут себе позволить. А таких компаний 99%. Если сюда приплюсовать первый судебный иск к аудитору (QSA) со стороны сертифицированной им процессинговой компании, то картина и вовсе выглядит нерадужно.