QSA Аудит: что это, зачем нужен и кто его проводит?

QSA-аудит представляет собой процесс проверки соответствия стандарту PCI DSS путем проведения внешнего аудита. QSA проводится в зависимости от типа организации и от количества транзакций. Аудит QSA должны проводить финансовые организации, платежные шлюзы и дата-центры. Также обязательным условием для проведения QSA является проведение минимум 300 тысяч транзакций за год. Стандарт PCI DSS является обязательным к исполнению.

Определение и описание QSA-аудита соответствия PCI DSS

QSA-аудит – это процесс проверки соответствия требований PCI DSS, который необходимо проводить только тем организациям, которые попадают под вышеуказанные условия.

QSA-аудит имеет право проводить только организация, у которой имеются соответствующие сертификаты на проведение. Подтверждение статуса аудитора QSA утверждается Советом PCI DSS. В рамках проведения аудита проверяющая организация собирает свидетельства выполнения или невыполнения требования PCI DSS. Для подтверждения, как правило, осуществляется сбор скриншотов, фотографий, лог-файлов, выгрузок из систем. Также возможен очный аудит в виде интервью, т. е. опроса сотрудников проверяемой компании.

Что происходит, когда аудит успешно пройден?

По результатам проведенного аудита формируется отчет о соответствии Стандарту PCI DSS (ROC), в котором фиксируются результаты о соответствии или несоответствии требованиям Стандарта. Если QSA аудита успешен, то выдается сертификат соответствия PCI DSS, который действует один год с даты завершения аудита. Сам отчет направляют в международные платежные системы (VISA, MasterCard) и в банки-эквайеры для подтверждения соответствия.

Какие альтернативы могут быть?

Существует три способа проверить соответствие стандарту PCI DSS:

1. Самооценка SAQ, проводимая организацией самостоятельно. Результатами являются заполненные листы самооценки. Отчет при этом не оформляется, процедура проводится исключительно для самопроверки.
2. Проведение внутреннего аудита ISA. Проводится штатными сотрудниками, у которых имеется сертификат PCI DSS, только в случае первичного аудита QSA. В этом случае также по итогам формируется отчет о соответствии.
3. QSA-аудит.

Указанные типы аудитов различимы между собой, как минимум, принципом проведения.

Важно, что SAQ – это исключительно самостоятельная процедура, результаты которой не идут дальше в организации. QSA и ISA в этом плане подтверждают «официальное» соответствие.

Требования аудита

Всего существует 288 критериев, разбитых по требованиям. В свою очередь, требования принято объединять в несколько групп:

• Построение и обслуживание вычислительной сети;
• Защита данных о владельцах платежных карт;
• Управление найденными и потенциальными уязвимостями (контроль их отсутствия);
• Реализация мер контроля доступа;
• Постоянный мониторинг и тестирование сети;
• Поддержка в актуальном виде политики информационной безопасности организации и обеспечение ее соответствия требованиям PCI DSS.

QSA и ISA аудиты проводятся ежегодно для регулярного подтверждения выполнения требований PCI DSS.

Заключение

Аудит QSA проводится обязательно для проверки соответствия Стандарту PCI DSS, проверка осуществляется сертифицированной PCI DSS организацией. Это обязательные требования международных платежных систем. Результаты проверки направляются международным организациям. Уйти от проведения аудита не получится, т. к. в этом случае не будет подтверждения соответствия Стандарту. QSA проводится ежегодно.