QSA – Qualified Security Assessor – to certyfikowany przez PCI SSC audytor, uprawniony do przeprowadzania ocen zgodności PCI DSS i wystawiania Report on Compliance (ROC). Nie wszystkie organizacje potrzebują QSA: zależy to od poziomu sprzedawcy i architektury systemu. Zrozumienie roli QSA i warunków jego wymagania jest kluczowe dla planowania budżetu compliance.
Kim jest QSA i jak uzyskać certyfikację
QSA to firma lub indywidualny ekspert certyfikowany przez PCI SSC (Payment Card Industry Security Standards Council). Aby uzyskać certyfikację QSA, organizacja lub ekspert musi przejść szkolenie PCI SSC, zdać egzamin i podlegać corocznej recertyfikacji. Lista aktualnie certyfikowanych QSA jest dostępna na stronie pcisecuritystandards.org. Przy wyborze QSA ważne jest sprawdzenie aktualności certyfikacji i doświadczenia w Twojej branży.
Kiedy QSA jest obowiązkowy
QSA jest obowiązkowy dla: sprzedawców Level 1 (ponad 6 milionów transakcji rocznie przez Visa lub Mastercard) – wymagany coroczny ROC; service providerów Level 1 (ponad 300 tysięcy transakcji rocznie) – wymagany coroczny ROC; organizacji, które doświadczyły naruszenia danych kart – sieć kart może zażądać oceny QSA. W przypadku sprzedawców Level 2, 3 i 4, coroczna samoocena SAQ jest zazwyczaj wystarczająca, chyba że agent rozliczeniowy wymaga ROC.
Koszty audytu QSA: czego można się spodziewać
Koszty audytu QSA vary significantly: małe organizacje z ograniczonym CDE: 20-50 tys. euro rocznie; organizacje średniej wielkości: 50-150 tys. euro rocznie; duże korporacje z rozległym CDE: 150-500 tys. euro rocznie lub więcej. Do tych kosztów należy dodać: kwartalne skany ASV (5-20 tys. euro rocznie), roczne testy penetracyjne (10-50 tys. euro), wewnętrzne koszty przygotowania do audytu (czas personelu).
Jak tokenizacja sprawia, że QSA staje się opcjonalny
Sprzedawca, który wdrożył tokenizację PCI Proxy EU i wyeliminował PAN ze swoich systemów, może kwalifikować się do SAQ A lub SAQ A-EP zamiast pełnego ROC. SAQ A jest kwestionariuszem samooceny – nie wymaga QSA. Ten shift może zaoszczędzić 30-150 tys. euro rocznie w kosztach audytu. Kwalifikowalność do SAQ A wymaga, że całe przetwarzanie kart jest przekazane certyfikowanemu service providerowi i żadne dane kart nie trafiają do systemów sprzedawcy.
Wybór QSA: kryteria oceny
Przy wyborze QSA należy uwzględnić: aktualność certyfikacji PCI SSC i doświadczenie w Twojej branży (e-commerce, fintech, hotelarstwo), znajomość środowisk chmurowych i wirtualnych (istotne przy PCI DSS v4.0), referencje od organizacji o podobnym profilu, jasna metodologia i harmonogram audytu, stosunek ceny do zakresu usług. Doświadczony QSA będzie w stanie pomóc w optymalizacji zakresu CDE przed formalnym audytem.
Ogranicz zakres PCI DSS – może SAQ A wystarczy?
Sprawdź z naszymi ekspertami, czy tokenizacja PCI Proxy EU pozwoli Twojej organizacji kwalifikować się do SAQ A zamiast pełnego audytu QSA.
Porozmawiaj z ekspertem