RisknCompliance Consulting Group опубликовала таблицу-помощник по соответствию стандарту PCI DSS в части регистрации событий. Список обновляется и уточняется по мере появления новой или актуальной, более точной информации.
В стандарте PCI DSS есть несколько требований, относящихся к регистрации событий и анализу журналов регистрации событий. Требования раздела 10 направлены, главным образом, на расследование инцидентов, связанных с компрометацией данных платежных карт. Справедливо отметить, что стандарт PCI DSS играет немаловажную роль в привлечении внимания к теме Log Management, в результате создавая рынок для нескольких вендоров, конкурирующих между собой.

Жил-был Банк. И пришли к нему аудиторы, и сказали человеческим голосом: «недостаточный уровень протоколирования событий, а журналы с этими событиями тем более никто не смотрит, так что не будет тебе, Банк, сертификата PCI, а с ним и счастья». И пошел Банк к интегратору, и просил его принять в дар каменья драгоценные (сколько унести сможет), а взамен поставить ему волшебную шкатулку с заморским названием Security Information Management System (SIMS), в которую бы все что нужно собиралось, да ещё и заглядывать в ту шкатулку было удобно. На том и порешили. Долго ли коротко, интегратор внедрял-внедрял, да и внедрил. Банк глядит на шкатулочку и не нарадуется, как открывается не знает, но шибко ему нравится. Прошел год, снова тучи собираются, а вместе с ними и аудиторы гостями незваными. На шкатулку и глядеть не хотят, тычут в процедуры аудита, сертификат давать отказываются. И взмолился тогда Банк: «чего же вам, окаянные, ещё нужно?».