Открыть сервис

Квалифицированный оценщик безопасности

Квалифицированный оценщик безопасности (англ. Qualified Security Assessor, QSA) — это физическое лицо или организация, сертифицированная Советом по стандартам безопасности индустрии платежных карт (PCI Security Standards Council, PCI SSC) для проведения аудитов и оценки соответствия организаций требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS). Основная функция QSA заключается в независимой проверке и подтверждении того, что компания, обрабатывающая, хранящая или передающая данные держателей платежных карт, соблюдает установленные меры защиты информации.

История возникновения

Стандарт PCI DSS был разработан в 2004 году международными платежными системами Visa, Mastercard, American Express, Discover и JCB для унификации требований к защите данных держателей карт. Для обеспечения независимого контроля за соблюдением стандарта был создан Совет по стандартам безопасности индустрии платежных карт (PCI SSC), который с 2006 года начал программу сертификации квалифицированных оценщиков безопасности. Первые QSA появились в 2007 году, когда PCI SSC утвердил список аккредитованных компаний и их сотрудников.

Изначально программа была ориентирована на крупные компании, обрабатывающие более 6 миллионов транзакций в год (уровень 1 PCI DSS), которым требовался обязательный ежегодный аудит. Со временем требования распространились на более мелкие организации, хотя для уровней 2-4 допускается самостоятельная оценка (Self-Assessment Questionnaire, SAQ) без привлечения QSA.

Требования к сертификации

Для организаций

Чтобы стать аккредитованной QSA-компанией, организация должна соответствовать ряду критериев, установленных PCI SSC:

Для физических лиц

Кандидат на получение статуса QSA должен:

Обязанности и процесс аудита

Основная задача QSA — проведение аудита соответствия (Report on Compliance, ROC) и выдача сертификата о соответствии (Attestation of Compliance, AoC). Процесс включает несколько этапов:

  1. Планирование и сбор информации: QSA изучает документацию клиента, определяет границы аудита (scope), выявляет системы, обрабатывающие данные карт.
  2. Оценка рисков: Анализируются угрозы и уязвимости, характерные для конкретной среды (например, облачные сервисы, локальные сети, мобильные приложения).
  3. Тестирование мер защиты: Проверка выполнения 12 основных требований PCI DSS, включая:
  1. Выдача отчета: Составляется детальный ROC, в котором фиксируются несоответствия (gaps) и рекомендации по их устранению. При полном соответствии выдается AoC.

QSA не имеет права навязывать конкретные решения или продукты — его роль ограничивается проверкой факта выполнения требований. Если в ходе аудита выявлены нарушения, клиент обязан устранить их в установленный срок (обычно до 90 дней) для получения сертификата.

Ограничения и независимость

Ключевое условие работы QSA — соблюдение принципа независимости. Организация не может одновременно выступать в роли аудитора и поставщика услуг по внедрению систем безопасности (например, установке межсетевых экранов или разработке политик). Это правило закреплено в уставе PCI SSC и направлено на предотвращение конфликта интересов. Нарушение данного принципа влечет за собой отзыв сертификации.

QSA также не может проводить аудит собственной организации или ее аффилированных структур. Для обеспечения объективности PCI SSC регулярно проводит выборочные проверки отчетов, поданных QSA, и может аннулировать сертификат при обнаружении систематических нарушений.

Критика и ограничения

Несмотря на широкое распространение, система QSA подвергается критике со стороны экспертов по информационной безопасности. Основные претензии:

В ответ на критику PCI SSC периодически обновляет стандарт (последняя версия — PCI DSS v4.0, выпущенная в 2022 году, с переходным периодом до 2024 года), ужесточая требования к документированию и тестированию.

Альтернативы и развитие

Для организаций, не обязанных проходить аудит QSA, существуют альтернативные механизмы оценки:

С развитием облачных технологий и платежных сервисов (например, Apple Pay, Google Pay) роль QSA может измениться: все больше компаний передают обработку данных карт сторонним провайдерам, что сокращает scope аудита. Кроме того, PCI SSC разрабатывает новые стандарты для программного обеспечения (PCI Software Security Framework) и терминалов (PCI PTS), что может потребовать появления новых типов сертифицированных оценщиков.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →