QSA-аудит
QSA-аудит (Qualified Security Assessor) — последний этап проверки организации на соответствие стандарту PCI DSS. Проверка проводится сотрудниками компании, которая обладает сертификатами на проведение аудита QSA.
Проверка проводится только для юрлиц, являющихся финансовыми организациями, платежными шлюзами или дата-центрами. Второе обязательное условие — минимум 300 000 транзакций в год. Дополнительным условием является регулярное ASV-сканирование в автоматическом режиме.
Аудит затрагивает только инфраструктуру предприятия, которая отвечает за платежные системы, поэтому заказчику рекомендуется заранее изолировать необходимую часть сети.
Требования аудита
При прохождении проверки к организации предъявляется более 250 требований. Они подразделяются на 6 групп.
- Создание и поддержка защищенной инфраструктуры предприятия.
- Обеспечение конфиденциальности информации о владельцах банковских карт.
- Внедрение политик и программно-аппаратных комплексов по предотвращению уязвимостей в инфраструктуре компании.
- Введение жестких мер контроля доступа внутри организации.
- Постоянный мониторинг и тестирование всех элементов инфраструктуры предприятия.
- Обновление политики информационной безопасности в соответствии с актуальными требованиями стандарта PCI DSS.
Результаты QSA аудита
Аудитор проводит проверку на соответствие требованиям стандарта PCI DSS. Он собирает свидетельства проверки и документированное подтверждение. По результату проверки клиент предоставляется отчет о соответствии.
В случае успешного прохождения проверки выдается свидетельство о соответствии и сертификат соответствия. Они действительны в течение одного года с момента окончания аудита. Свидетельство в дальнейшем отправляется в международные платежные системы (VISA, Master Card) или в банки-эквайеры. Результаты QSA-проверки хранятся в течение 3 лет.