Ein QSA (Qualified Security Assessor) ist ein von PCI SSC (Payment Card Industry Security Standards Council) zertifizierter Sicherheitsprüfer, der befugt ist, PCI DSS-Audits im Namen von Händlern und Dienstleistern durchzuführen. Es ist jedoch ein häufiger Irrtum zu glauben, dass jedes Unternehmen, das Karten akzeptiert, einen QSA beauftragen muss: Der Bedarf an einem QSA hängt direkt vom Händler-Level und dem PCI-Scope ab. Wer seinen Scope reduziert, kann den QSA oft optional machen.
Was ist ein QSA und was macht er
Ein Qualified Security Assessor ist ein von PCI SSC qualifiziertes Unternehmen mit zertifizierten Mitarbeitern (QSA-Mitarbeiter), das technische und verfahrensbezogene Compliance-Bewertungen gemäß PCI DSS durchführen kann. Zu den Aufgaben eines QSA gehören:
- Durchführung des jährlichen Assessments (Report on Compliance – ROC) für Level 1-Händler
- Ausstellung der AOC (Attestation of Compliance) nach Abschluss des Assessments
- Überprüfung und Validierung von SAQ-Selbstbewertungen bei Bedarf
- Beratung von Unternehmen zur Vorbereitung auf den Audit und zur Scope-Reduzierung
- Überprüfung von Richtlinien, technischen Kontrollen, Netzwerksegmentierung und kryptografischen Implementierungen
Wann ist ein QSA Pflicht: Händler-Level 1
Ein QSA ist zwingend erforderlich für Level 1-Händler, d.h. Unternehmen, die mehr als 6 Millionen Kartentransaktionen pro Jahr für Visa oder Mastercard verarbeiten, oder Unternehmen, die nach einer Datenpanne von einem Netzwerk auf Level 1 hochgestuft wurden. Diese Unternehmen müssen jährlich einen ROC (Report on Compliance) einreichen, der von einem akkreditierten QSA unterzeichnet sein muss.
Für Level 2, 3 und 4-Händler ist ein QSA in der Regel nicht obligatorisch: Diese Händler können eine SAQ (Self-Assessment Questionnaire) Selbstbewertung einreichen, die vom Händler selbst ausgefüllt und beim Acquirer eingereicht wird, ohne externe Prüfung. In einigen Fällen kann der Acquirer eine QSA-Validierung auch für Level 2-Händler anfordern, insbesondere nach Sicherheitsvorfällen oder wenn er Unstimmigkeiten in der eingereichten Dokumentation festgestellt hat.
Wie viel kostet ein QSA und wie lange dauert ein Audit
Die Kosten eines PCI DSS QSA-Audits variieren erheblich je nach Umfang des Scopes, der Komplexität der Infrastruktur und dem geografischen Standort des QSA-Unternehmens. Als Richtwert:
- Kleine bis mittlere Organisationen (begrenzter Scope, SAQ D): 15.000 €–50.000 €
- Mittlere bis große Organisationen (größerer Scope, mehrere Systeme): 50.000 €–150.000 €
- Große Organisationen (Level 1, komplexer Scope): 150.000 €–500.000 €+
Ein vollständiges Level 1-Audit dauert in der Regel 3–6 Monate von der ersten Scope-Bewertung bis zur Ausstellung der AOC. Dazu kommen die internen Vorbereitungskosten (Mitarbeiterzeit, Remediation-Aufwand, Penetrationstests, ASV-Scans), die den Gesamtaufwand erheblich erhöhen können.
Scope reduzieren, um den QSA optional zu machen
Die effektivste Strategie, um einen QSA für die meisten Händler optional zu machen, ist die Reduzierung des PCI-Scopes durch Tokenisierung. Wenn ein Händler durch die Integration von PCI Proxy EU seinen Scope auf SAQ A reduziert – d.h. er verarbeitet oder speichert niemals PAN im Klartext –, können die 22 SAQ A-Anforderungen intern mit einer einfachen Selbstbewertung verwaltet werden, ohne einen QSA zu beauftragen.
Selbst Händler, die auf SAQ D verbleiben (z.B. weil sie einige direkte Zahlungsverarbeitungsflüsse beibehalten), profitieren von einem reduzierten Scope: Ein kleinerer Scope bedeutet weniger Anforderungen und damit einen schnelleren, günstigeren QSA-Prozess. Die Investition in Tokenisierung amortisiert sich in der Regel innerhalb von zwei bis drei Jahren PCI-Audit-Kosten.
Häufig gestellte Fragen
Kann ich einen QSA für die Compliance-Vorbereitung beauftragen, ohne ein vollständiges Audit zu benötigen?
Ja. Viele QSA-Unternehmen bieten Beratungsleistungen separat von formalen Audits an: Gap-Analyse (was Sie vom vollständigen Compliance-Zustand trennt), Scope-Bewertung (wie Sie den Perimeter reduzieren können), Richtlinienentwicklung und Penetrationstest-Services. Diese Beratungsleistungen sind viel günstiger als ein vollständiges Audit und können eine wertvolle Investition sein, bevor Sie entscheiden, ob und wie Sie den Scope reduzieren wollen.
Wie finde ich einen akkreditierten QSA in Deutschland oder der EU?
PCI SSC führt eine öffentliche Liste aller akkreditierten QSA-Unternehmen weltweit auf seiner Website (pcisecuritystandards.org). Sie können nach Region und Sprache filtern. Für europäische Händler bieten einige QSA-Unternehmen spezifische Expertise im EU-regulatorischen Kontext (DSGVO, NIS2) an, was besonders wertvoll ist, wenn Sie beide Compliance-Frameworks gleichzeitig verwalten.
Ersetzt die AOC von PCI Proxy EU meine eigene AOC?
Nein, aber sie ergänzt sie. PCI Proxy EU stellt eine AOC für seinen zertifizierten Dienst aus, die Sie dem Acquirer vorlegen können, um nachzuweisen, dass Ihre Tokenisierungskomponente von einem Level 1 zertifizierten Anbieter verwaltet wird. Sie müssen dennoch Ihren eigenen verbleibenden Scope (auch wenn er auf SAQ A reduziert ist) durch Ihre eigene Compliance-Dokumentation abdecken.
Möchten Sie Ihren PCI-Scope reduzieren und den QSA optional machen? Entdecken Sie PCI Proxy EU.