Я так полагаю ты хорошо знаком со стандартом PCI DSS, поэтому уверено заявляешь о такой позиции PCI DSS (зная стандарт). И по логике вещей, когда DoS не приведёт к утечке информации платёжных карт, а “лишь” сайт станет недоступным, можно предположить такой подход, мол риска для информации нет.

Но это только при таком “узком подходе”. А на деле как plimus.com, так и любому другому сайту, что с PCI DSS сертификатом, что без него, стоит обращать внимание и на DoS уязвимости.

1. Критические уязвимости - это лишь один из уровней риска. К примеру, у меня в моей пяти-бальной шкале “критические” - это 5 уровень риска. Т.е. если DoS не критические, значит они меньше чем 5, но всё же имеют уровень риска (к примеру, я DoS уязвимостям обычно ставлю 3 или 4 уровень риска, но никогда не “критический”). А исправлять, в идеале, нужно уязвимости всех уровней риска.

2. С точки зрения PCI DSS уязвимости типа “отказ в обслуживании” считаются за дыры? Если да, то и исправлять их нужно. Т.е. PCI DSS аудитор должен был обратить внимание клиента на все дыры подходящие под стандарт, включая DoS, а заказчик аудита должен был все эти дыры исправить - он должен был сделать все те исправления, минимально допустимые по стандарту для получения сертификата.

3. Сайты с PCI DSS сертификатами, в том числе plimus.com, используют факт соответствия PCI DSS для того, чтобы заявить, что они полностью неуязвимые и исключительно безопасные (т.е. пиарятся на этом). Что не соответствует действительности если они имеют дыры, поэтому этим сайтам нужно исправлять все дыры.