PCI DSSでは,会社全体のセキュリティへの認識レベルを決定するセキュリティ・ポリシーの整備を求めている。このセキュリティ・ポリシーは,従業員に何を期待しているかの情報を与えるものでなければならない。 12.1 以下を満たすセキュリティ・ポリシーを確立,公開,維持,配布する。 12.1.1 本書の仕様にあるすべての要件に対応している。 12.1.2 脅威と脆弱性を特定し,正式なリスク評価につながる年間プロセスを含んでいる。 12.1.3 少なくとも一年に1回の見直しを含み,環境変更時には更新する。 セキュリティ・ポリシーは,ISMSなどに代表されるほかの認証規格のために作成したものでも代用できるが,上記の要件を満足したものであるかどうかは確認しなければならない。特に,要件12.1.1に規定されているように,PCI DSSのすべての要件に対応しているかを確認する必要がある。 また,要件12