Un QSA PCI DSS (Qualified Security Assessor, evaluador de seguridad cualificado) es un profesional certificado por el PCI SSC habilitado para realizar evaluaciones formales de cumplimiento. Saber cuándo es obligatorio y cuándo se puede prescindir de él puede suponer la diferencia entre un gasto de decenas de miles de euros y un proceso de cumplimiento gestionable internamente. La respuesta depende casi siempre del nivel de comerciante y de la amplitud del cardholder data environment.
QSA PCI DSS: el rol y las certificaciones requeridas
El QSA está formado y certificado directamente por el PCI Security Standards Council. Para obtener la cualificación, el profesional debe superar un curso oficial, aprobar un examen y trabajar para una empresa de consultoría acreditada (QSA Company) que cumpla los requisitos del PCI SSC. La lista actualizada de empresas cualificadas está disponible en el sitio oficial del Consejo. En Europa operan varias QSA Companies, tanto internacionales con oficina local como firmas especializadas.
El QSA no es solo un auditor: puede prestar asesoramiento durante el proceso de cumplimiento, identificar brechas respecto a los requisitos y ayudar a definir la documentación necesaria para el Report on Compliance (RoC). Sin embargo, no tiene poder certificador autónomo: el reconocimiento formal depende del adquirente o del esquema de pago que acepta el RoC o el AOC (Attestation of Compliance).
Cuándo el QSA es obligatorio: Nivel 1 y casos particulares
Para los comerciantes clasificados como Nivel 1 (más de 6 millones de transacciones anuales con Visa o Mastercard, o que hayan sufrido una brecha de datos), el RoC redactado por un QSA externo es obligatorio. También lo es para los Proveedores de Servicios Nivel 1, que gestionan más de 300.000 transacciones al año en nombre de otros comerciantes. En estos casos no existe alternativa: el adquirente exige el RoC firmado por un QSA acreditado como condición para mantener el contrato de adquirencia.
Para los niveles inferiores (Nivel 2, 3 y 4), el comerciante a menudo puede completar autónomamente un SAQ (Self-Assessment Questionnaire) sin implicar a un QSA. La elección del SAQ correcto depende del método de aceptación de pagos y de la amplitud del CDE. Un comerciante que utiliza solo una payment page externa en redirección puede cualificar para el SAQ A, que tiene 22 requisitos frente a los 300+ del RoC completo.
Cómo reducir el ámbito para hacer al QSA opcional
La estrategia más directa para evitar el QSA obligatorio es bajar de nivel de comerciante, lo que requiere reducir el volumen de transacciones o salir del perímetro de riesgo con la ayuda de un proveedor certificado. Tokenizar los datos de tarjeta con un servicio certificado PCI DSS Level 1 traslada la responsabilidad de custodiar los PAN fuera de tu infraestructura. Tu CDE se reduce a los únicos componentes que interactúan con las API del vault, a menudo calificables con un SAQ D simplificado o incluso un SAQ A-EP.
Incluso quien es formalmente Nivel 1 puede beneficiarse de la reducción de ámbito: un CDE más pequeño significa un RoC más rápido, menos horas de evaluación del QSA y costes que disminuyen proporcionalmente. Una evaluación sobre un entorno reducido a unos pocos componentes bien documentados puede costar la mitad que un entorno distribuido con decenas de sistemas en el ámbito.
Preguntas frecuentes
¿Un QSA puede también certificar a mi proveedor de servicios?
Sí, pero solo si el proveedor forma parte del ámbito de la evaluación. El QSA puede evaluar el ecosistema completo, incluidos los proveedores de servicios que forman parte del flujo de pago. Si el proveedor ya cuenta con su propia certificación PCI DSS (como PCI Proxy EU), su AOC puede incluirse como evidencia en la evaluación, reduciendo el trabajo del QSA sobre tu cadena de suministro.
¿Cuánto cuesta una evaluación con QSA?
El coste depende de la amplitud del CDE y del número de sistemas en el ámbito. Para un comerciante Nivel 1 con un entorno medio, los costes oscilan entre 20.000 y 60.000 euros para un RoC completo. Para entornos reducidos o SAQ asistidos, los costes bajan a 5.000-15.000 euros. La diferencia principal la marca el número de días de análisis sobre el terreno, que varía de 3-5 días para entornos simples a 20+ días para infraestructuras complejas.
¿Puedo usar un ISA en lugar de un QSA?
El Internal Security Assessor (ISA) es un empleado de la empresa certificado por el PCI SSC para realizar evaluaciones internas. El ISA puede gestionar el proceso de cumplimiento autónomamente para su propia organización, pero no puede emitir RoC válidos para terceros. Para comerciantes Nivel 1 que deben presentar un RoC al adquirente, el ISA no sustituye al QSA externo. El ISA es muy útil para gestionar el cumplimiento continuo entre una evaluación y otra.
Reduce el perímetro PCI antes incluso de hablar con un QSA. Descubre PCI Proxy EU.