Un QSA PCI DSS (Qualified Security Assessor, evaluador de segurança cualificado) es un profesional certificado por el PCI SSC habilitado para realizar evaluaciones formales de conformidade. Saber quando es obligatorio e quando se pode prescindir de él pode suponer la diferencia entre un gasto de decenas de miles de euros e un proceso de conformidade gestionable internamente. La respuesta depende quase sempre del nivel de comerciante e de la amplitud del ambiente de dados de titulares de cartão.
QSA PCI DSS: el rol e las certificaciones requeridas
El QSA está formado e certificado directamente por el PCI Security Standards Council. Para obter la cualificação, el profesional deve superar un curso oficial, aprobar un examen e trabajar para una empresa de consultoría acreditada (QSA Company) que cumpla los requisitos del PCI SSC. La lista actualizada de empresas cualificadas está disponible en el sitio oficial del Consejo. En Europa operan varias QSA Companies, tanto internacionales con oficina local como firmas especializadas.
El QSA no es apenas un auditor: pode prestar asesoramiento durante el proceso de conformidade, identificar brechas respecto a los requisitos e ayudar a definir la documentação necesaria para el Report on Compliance (RoC). Sin embargo, no tem poder certificador autónomo: el reconocimiento formal depende del adquirente o del esquema de pago que acepta el RoC o el AOC (Attestation of Compliance).
Quando el QSA es obligatorio: Nivel 1 e casos particulares
Para los comerciantes clasificados como Nivel 1 (mais de 6 millones de transações anuales con Visa o Mastercard, o que hayan sufrido una brecha de dados), el RoC redactado por un QSA externo es obligatorio. También lo es para los Fornecedores de Serviços Nivel 1, que gerem mais de 300.000 transações al año en nombre de otros comerciantes. En estos casos no existe alternativa: el adquirente exige el RoC firmado por un QSA acreditado como condição para manter el contrato de adquirencia.
Para los niveles inferiores (Nivel 2, 3 e 4), el comerciante a menudo pode completar autónomamente un SAQ (Self-Assessment Questionnaire) sin implicar a un QSA. La elecção del SAQ correcto depende del método de aceptação de pagos e de la amplitud del CDE. Un comerciante que utiliza apenas una payment page externa en redirecionamento pode cualificar para el SAQ A, que tem 22 requisitos frente a los 300+ del RoC completo.
Como reduzir el ámbito para fazer al QSA opcional
La estratégia mais directa para evitar el QSA obligatorio es bajar de nivel de comerciante, lo que exige reduzir el volumen de transações o salir del perímetro de riesgo con la ayuda de un fornecedor certificado. Tokenizar los dados de cartão con un serviço certificado PCI DSS Level 1 traslada la responsabilidade de custodiar los PAN fuera de tu infraestrutura. Tu CDE se reduz a los únicos componentes que interactúan con las API del vault, a menudo calificables con un SAQ D simplificado o incluso un SAQ A-EP.
Incluso quien es formalmente Nivel 1 pode beneficiarse de la reducção de ámbito: un CDE mais pequeño significa un RoC mais rápido, menos horas de evaluação del QSA e custos que disminuyen proporcionalmente. Una evaluação sobre un ambiente reducido a unos pocos componentes bien documentados pode costar la mitad que un ambiente distribuido con decenas de sistemas en el ámbito.
Preguntas frecuentes
Un QSA pode também certificar a mi fornecedor de serviços?
Sí, mas apenas si el fornecedor forma parte del ámbito de la evaluação. El QSA pode evaluar el ecossistema completo, incluidos los fornecedores de serviços que forman parte del fluxo de pago. Si el fornecedor ya cuenta con su propia certificação PCI DSS (como PCI Proxy EU), su AOC pode incluirse como evidencia en la evaluação, reduciendo el trabajo del QSA sobre tu cadena de suministro.
Cuánto cuesta una evaluação con QSA?
El custo depende de la amplitud del CDE e del número de sistemas en el ámbito. Para un comerciante Nivel 1 con un ambiente medio, los custos oscilan entre 20.000 e 60.000 euros para un RoC completo. Para ambientes reducidos o SAQ asistidos, los custos bajan a 5.000-15.000 euros. La diferencia principal la marca el número de días de análise sobre el terreno, que varía de 3-5 días para ambientes simples a 20+ días para infraestructuras complejas.
Puedo usar un ISA en lugar de un QSA?
El Internal Security Assessor (ISA) es un empleado de la empresa certificado por el PCI SSC para realizar evaluaciones internas. El ISA pode gerir el proceso de conformidade autónomamente para su propia organização, mas no pode emitir RoC válidos para terceros. Para comerciantes Nivel 1 que devem presentar un RoC al adquirente, el ISA no substitui al QSA externo. El ISA es muito útil para gerir el conformidade continuo entre una evaluação e otra.
Reduz el perímetro PCI antes incluso de hablar con un QSA. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.