12.7.1
Определенные Требования к Подходу:
Потенциальный персонал, который будет иметь доступ к CDE, проходит проверку в рамках ограничений местного законодательства перед наймом, чтобы свести к минимуму риск атак из внутренних источников.

Цель Индивидуального подхода:
Риск, связанный с предоставлением новым сотрудникам доступа к CDE, осознается и управляется.

Примечания по применению:
Для тех потенциальных сотрудников, которые будут наняты на такие должности, как кассиры магазинов, которые имеют доступ только к одному номеру карты одновременно при проведении транзакции, это требование является только рекомендацией.

Определенные Процедуры Тестирования Подхода:

Цель:
Проведение тщательной проверки перед наймом потенциального персонала, которому, как ожидается, будет предоставлен доступ к CDE, предоставляет организациям информацию, необходимую для принятия обоснованных решений о рисках в отношении персонала, которого они нанимают, который будет иметь доступ к CDE.
Другие преимущества отбора потенциальных сотрудников включают помощь в обеспечении безопасности на рабочем месте и подтверждение информации, предоставленной потенциальными сотрудниками в их резюме.

Надлежащая практика:
Организациям следует рассмотреть возможность проверки существующего персонала в любое время, когда они переходят на роли, где у них есть доступ к CDE, с ролей, где у них не было такого доступа.
Чтобы быть эффективным, уровень отбора должен соответствовать занимаемой должности. Например, должности, требующие большей ответственности или имеющие административный доступ к критически важным данным или системам, могут требовать более детальной или более частой проверки, чем должности с меньшей ответственностью и доступом.

Примеры:
Варианты проверки могут включать, в зависимости от региона организации, предыдущую историю работы, просмотр общедоступной информации / ресурсов социальных сетей, судимость, кредитную историю и проверку рекомендаций.