Un QSA PCI DSS (Qualified Security Assessor) è un professionista certificato dal PCI SSC abilitato a condurre assessment formali di conformità. Sapere quando è obbligatorio e quando invece è possibile farne a meno può fare la differenza tra una spesa di decine di migliaia di euro e un processo di compliance gestibile internamente. La risposta dipende quasi sempre dal livello merchant e dall'ampiezza del cardholder data environment.
QSA PCI DSS: il ruolo e le certificazioni richieste
Il QSA è formato e certificato direttamente dal PCI Security Standards Council. Per ottenere la qualifica, il professionista deve superare un corso ufficiale, passare un esame e lavorare per una società di consulenza accreditata (QSA Company) che risponde ai requisiti del PCI SSC. La lista aggiornata delle società qualificate è disponibile sul sito ufficiale del Consiglio. In Italia operano una decina di QSA Company, alcune internazionali con ufficio locale.
Il QSA non è solo un auditor: può fornire consulenza durante il percorso di conformità, identificare gap rispetto ai requisiti e aiutare a definire la documentazione necessaria per il Report on Compliance (RoC). Non ha però potere certificativo autonomo: il riconoscimento formale dipende dall'acquirer o dal brand di pagamento che accetta il RoC o l'AOC (Attestation of Compliance).
Quando il QSA è obbligatorio: Level 1 e casi particolari
Per i merchant classificati Level 1 (oltre 6 milioni di transazioni annue con Visa o Mastercard, oppure che hanno subito una violazione dei dati), il RoC redatto da un QSA esterno è obbligatorio. Lo è anche per i Service Provider Level 1, che gestiscono più di 300.000 transazioni l'anno per conto di altri merchant. In questi casi non esiste alternativa: l'acquirer richiede il RoC firmato da un QSA accreditato come condizione per il mantenimento del contratto di acquiring.
Per i livelli inferiori (Level 2, 3 e 4), il merchant può spesso completare autonomamente un SAQ (Self-Assessment Questionnaire) senza coinvolgere un QSA. La scelta del SAQ corretto dipende dal metodo di accettazione dei pagamenti e dall'ampiezza del CDE. Un merchant che usa solo un payment page esterno in redirect può qualificarsi per il SAQ A, che ha 22 requisiti contro i 300+ del full RoC.
Come ridurre lo scope per rendere il QSA opzionale
La pci dss scope reduction strategy più diretta per evitare il QSA obbligatorio è scendere di livello merchant, il che richiede di ridurre il volume di transazioni oppure di uscire dal perimetro di rischio con l'aiuto di un provider certificato. Tokenizzare i dati carta con un servizio PCI DSS Level 1 certificato sposta la responsabilità di custodire i PAN fuori dalla tua infrastruttura. Il tuo CDE si riduce ai soli componenti che interagiscono con le API del vault, spesso qualificabili con un SAQ D semplificato o addirittura un SAQ A-EP.
Anche chi è formalmente Level 1 può beneficiare della riduzione di scope: un CDE più piccolo significa un RoC più veloce, meno ore di assessment del QSA e costi che scendono proporzionalmente. Un assessment su un ambiente ridotto a pochi componenti ben documentati può costare la metà rispetto a un ambiente distribuito con decine di sistemi in scope.
Domande frequenti
Un QSA può anche certificare il mio fornitore di servizi?
Sì, ma solo se il fornitore rientra nell'ambito dell'assessment. Il QSA può valutare l'intero ecosistema, inclusi i service provider che fanno parte del flusso di pagamento. Se il fornitore ha già una propria certificazione PCI DSS (come PCI Proxy EU), la sua AOC può essere inclusa come evidenza nell'assessment, riducendo il lavoro del QSA sulla tua catena di fornitura.
Quanto costa un assessment con QSA in Italia?
Il costo dipende dall'ampiezza del CDE e dal numero di sistemi in scope. Per un merchant Level 1 con ambiente medio, i costi si aggirano tra 20.000 e 60.000 euro per un RoC completo. Per ambienti ridotti o SAQ assistiti, i costi scendono a 5.000-15.000 euro. La differenza principale la fa il numero di giorni di analisi sul campo, che varia da 3-5 giorni per ambienti semplici a 20+ giorni per infrastrutture complesse.
Posso usare un ISA invece di un QSA?
L'Internal Security Assessor (ISA) è un dipendente dell'azienda certificato dal PCI SSC per condurre assessment interni. L'ISA può gestire il processo di compliance autonomamente per la propria organizzazione, ma non può rilasciare RoC validi per terzi. Per i merchant Level 1 che devono presentare un RoC all'acquirer, l'ISA non sostituisce il QSA esterno. L'ISA è invece molto utile per gestire la compliance continuativa tra un assessment e l'altro.
Riduci il perimetro PCI prima ancora di parlare con un QSA. Scopri PCI Proxy EU.