A QSA (Qualified Security Assessor) a PCI Security Standards Council által minősített biztonsági értékelő, aki elvégzi a PCI DSS Level 1 kereskedők és bizonyos szervizszolgáltatók kötelező helyszíni auditját. A QSA-minősítés nem önkéntes – csak a PCI SSC által akkreditált szervezetek munkatársai végezhetik el a ROC (Report on Compliance) auditot.
Mikor szükséges QSA?
A QSA-audit az alábbi esetekben kötelező: Level 1 kereskedők (6 millió+ Visa vagy Mastercard tranzakció évente); Level 1 szervizszolgáltatók (300 000+ tranzakció/év, vagy adott kártyahálózati előírás szerint); acquirer bankok által megkövetelt esetekben (pl. nagykockázatú iparágak); ha a kereskedő önkéntesen szeretne ROC-ot benyújtani az acquirernek. Level 2–4 kereskedők számára a QSA nem kötelező – ők SAQ (Self-Assessment Questionnaire) alapján dokumentálhatják megfelelőségüket.
Mit vizsgál a QSA egy auditban?
A QSA a PCI DSS 12 fő követelményét vizsgálja helyszíni auditban: tűzfalak és hálózati architektúra (1. követelmény); alapértelmezett jelszavak és biztonsági beállítások (2. követelmény); tárolt kártyaadatok védelme (3. követelmény); titkosítás a nyílt hálózatokon (4. követelmény); kártevő-védelmi szoftverek (5. követelmény); biztonságos rendszer- és alkalmazásfejlesztés (6. követelmény); hozzáférés-korlátozás (7. követelmény); azonosítás és hitelesítés (8. követelmény); fizikai hozzáférési kontrollok (9. követelmény); hálózati tevékenység monitorozása (10. követelmény); rendszeres biztonsági tesztelés (11. követelmény); információbiztonsági politika (12. követelmény). A QSA a vizsgálat eredményét ROC formájában dokumentálja és benyújtja az acquirernek.
Hogyan válasszon QSA-t?
A PCI SSC honlapján (pcisecuritystandards.org) kereshető a minősített QSA-cégek listája. Szempontok a QSA kiválasztásánál: ágazatspecifikus tapasztalat (szálloda, e-kereskedelem, fintech); az adott ország(ok)ban való jelenlét; referenciák és korábban elvégzett auditok; a kommunikáció és az együttműködés minősége; árstruktúra (a QSA-auditok ára széles határok között mozog).
Felkészülés a QSA-auditra tokenizációval
A tokenizáció csökkenti a QSA-audit hatókörét és időtartamát. Szakértőink segítenek az audit-felkészülésben és a CDE optimalizálásában.
Konzultáljon szakértőnkkel