Un QSA (Qualified Security Assessor) est un auditeur certifié par le PCI Security Standards Council pour évaluer et certifier la conformité PCI DSS des organisations. Beaucoup de marchands s'imaginent avoir besoin d'un QSA dès qu'ils acceptent des cartes. En réalité, l'intervention d'un QSA n'est obligatoire que dans des cas spécifiques — et la tokenisation peut vous aider à éviter cette obligation coûteuse.
Qui est un QSA PCI DSS ?
Un QSA (Qualified Security Assessor) est une entreprise et ses employés certifiés par le PCI Security Standards Council (PCI SSC) pour réaliser des évaluations de conformité PCI DSS. La certification QSA nécessite une formation spécialisée, des examens rigoureux, et un renouvellement annuel. Les QSA doivent également maintenir une assurance professionnelle et être indépendants des organisations qu'ils auditent.
Il existe deux types de QSA : le QSA classique pour les audits de marchands et prestataires de services, et le QSA-P (QSA for Payment Applications) spécialisé dans l'évaluation des applications de paiement (PA-DSS, désormais intégré à PCI DSS v4 sous le cadre Software Security Framework). La liste officielle des QSA agréés est publiée sur le site du PCI SSC et est mise à jour régulièrement.
Quand un QSA est-il obligatoire ?
L'intervention d'un QSA est obligatoire dans deux situations principales :
- Marchands Level 1 : tout marchand traitant plus de 6 millions de transactions par an avec Visa ou Mastercard doit réaliser un audit annuel complet (ROC — Report on Compliance) réalisé par un QSA agréé
- Prestataires de services Level 1 : tout prestataire de services (processeurs, gateways, hébergeurs) traitant plus de 300 000 transactions par an doit également réaliser un ROC annuel par QSA
Pour tous les autres marchands (Level 2, 3, 4), le SAQ (Self-Assessment Questionnaire) peut être complété sans intervention d'un QSA, bien que certains acquéreurs puissent l'exiger pour les marchands Level 2 présentant un profil de risque élevé.
Combien coûte un audit QSA ?
Le coût d'un audit QSA varie considérablement selon la complexité de l'environnement à auditer et la localisation du QSA. Pour un marchant Level 1 avec un CDE (Cardholder Data Environment) étendu, les coûts incluent :
- Évaluation initiale et scoping : 5 000 à 15 000 €
- Audit sur site et tests : 15 000 à 50 000 €
- Rapport ROC et documentation : 5 000 à 15 000 €
- Remédiation et re-testing : variable selon les findings
- Total estimé : 25 000 à 80 000 € pour un audit complet
Pour un marchand avec un CDE très réduit — par exemple grâce à la tokenisation PCI Proxy EU — le scope de l'audit est considérablement réduit, et les coûts peuvent être divisés par 3 à 5.
SAQ vs ROC : quelle différence ?
Le ROC (Report on Compliance) est le rapport d'audit complet réalisé par un QSA. Il documente en détail tous les contrôles PCI DSS vérifiés, les résultats des tests, les findings et les plans de remédiation. Le ROC est requis pour les organisations qui doivent faire appel à un QSA.
Le SAQ (Self-Assessment Questionnaire) est un questionnaire d'auto-évaluation que les marchands et prestataires de services éligibles remplissent sans l'intervention d'un QSA. Il existe plusieurs types de SAQ (A, A-EP, B, B-IP, C, C-VT, D, P2PE) correspondant à différents profils d'acceptation de cartes. Le SAQ A est le plus simple (22 questions), le SAQ D le plus complet (329 questions).
Comment la tokenisation peut rendre le QSA optionnel
La stratégie clé pour éviter l'obligation de faire appel à un QSA est de réduire votre scope PCI DSS suffisamment pour rester en dessous des seuils du Level 1. Pour la plupart des marchands, cela signifie réduire le nombre de transactions traitées avec des données de carte en clair — et la tokenisation est l'outil principal pour y parvenir.
Avec PCI Proxy EU, si votre formulaire de paiement est entièrement hébergé par PCI Proxy EU et qu'aucun élément de paiement n'existe sur votre domaine ou vos serveurs, vous pouvez vous qualifier pour le SAQ A. Dans ce cas, l'auto-évaluation prend quelques heures, sans aucun besoin de QSA externe.
Choisir un QSA : critères et questions à poser
Si vous devez faire appel à un QSA, voici les critères pour choisir le bon partenaire : vérifiez d'abord que le QSA est bien référencé sur le site officiel du PCI SSC (liste mise à jour mensuellement). Assurez-vous qu'il a une expérience spécifique dans votre secteur d'activité et avec votre type d'environnement technique.
Posez des questions précises sur leur approche du scoping : un bon QSA vous aidera à minimiser le scope en identifiant les systèmes qui peuvent être légitimement exclus du CDE. Un QSA qui tend à sur-scoper pour facturer plus d'heures n'est pas votre meilleur allié. Demandez également des références d'entreprises de taille similaire à la vôtre dans votre secteur.
Après l'audit QSA : maintenir la conformité au quotidien
La conformité PCI DSS n'est pas un événement annuel — c'est un état continu. Après un audit QSA réussi, la conformité doit être maintenue 365 jours par an. Cela implique la surveillance continue des contrôles, la formation régulière des équipes, la gestion des patchs de sécurité dans les délais PCI DSS, et la documentation de tout changement significatif dans l'environnement.
PCI Proxy EU facilite cette continuité : en sortant les données de carte de vos systèmes, vous réduisez le nombre de contrôles à maintenir au quotidien. Moins il y a de composants dans votre CDE, moins il y a de contrôles à surveiller, de patchs à appliquer, et de formations à réaliser. La tokenisation est donc bénéfique non seulement lors de l'audit, mais toute l'année.
Réduisez votre scope PCI DSS avec la tokenisation PCI Proxy EU et rendez le QSA optionnel — ou simplifiez considérablement son travail si vous en avez besoin. Découvrir PCI Proxy EU.