QSA-аудит

QSA или Qualified Security Assessor представляет собой завершающий шаг в ходе исследования инфраструктуры организации на предмет соответствия стандарту безопасности PCI DSS (Payment Card Industry Data Security Standard). Аудит выполняется экспертами организации, которая имеет право на проведения данной проверки.

QSA-аудит может выполняться исключительно в отношении юридических лиц, которые занимаются финансовой деятельностью, владеют дата-центрами, работают с платежными шлюзами. Еще одно обязательное условие для выполнения проверки — необходимость проводить от 300 тысяч денежных переводов в год. Также компания должна систематически выполнять ASV-сканирование.

QSA-аудит — процедура, в рамках которой исследуется исключительно та часть инфраструктуры компании, которая относится к системам обработки платежей. Перед проведением исследования важно заранее изолировать данную часть общей ИТ-инфраструктуры.

Требования к выполнению

Чтобы провести QSA-аудит в отношении компании, она должна отвечать более, чем 250 требованиям. Все они касаются следующих подгрупп:

  1. Разработка и постоянное поддержание ИТ-инфраструктуры в защищенном состоянии.
  2. Внедрение максимально жесткого контроля ко всем ресурсам компании.
  3. Гарантия защиты личной информации владельцев банковских счетов.
  4. Мониторинг и проведение тестирования каждого элемента инфраструктуры компании.
  5. Применение политик и программно-аппаратных решений, которые предотвращают возникновение уязвимостей в инфраструктуре компании.
  6. Обновление ИТ-безопасности и ее политик, опираясь на текущие стандарты и требования PCI DSS.

Каких результатов позволяет добиться

В ходе выполнения QSA-аудита эксперты устанавливают, насколько ИТ-инфраструктура компании соответствует стандарту PCI DSS. Для этого выполняется сбор определенных данных, после чего они фиксируются в документации. После завершения процедуры компания получает от аудитора специальный отчет-заключение.

Если компания успешно прошла проверку, составляется свидетельство и соответствующий сертификат. Эти два документа действительны на протяжении 12 месяцев после завершения проверки. Свидетельство в будущем можно направить в финансовые учреждения, с которыми работает компания.