La auditoría QSA (Asesor de Seguridad Calificado) es la última etapa para verificar que una organización cumpla con el estándar PCI DSS. La auditoría es realizada por empleados de una empresa que cuenta con certificados de auditoría QSA.
La verificación se lleva a cabo solo para entidades legales que son organizaciones financieras, pasarelas de pago o centros de datos. El segundo requisito previo es un mínimo de 300.000 transacciones al año. Una condición adicional es el escaneo ASV regular en modo automático.
La auditoría afecta solo a la infraestructura de la empresa, que es responsable de los sistemas de pago, por lo que se aconseja al cliente que aísle la parte necesaria de la red con anticipación.
Cumplimiento de PCI DSS
Requisitos de auditoría
Durante la inspección, se imponen más de 250 requisitos a la organización. Se dividen en 6 grupos.
- Creación y soporte de una infraestructura empresarial segura.
- Garantizar la confidencialidad de la información sobre los titulares de tarjetas bancarias.
- Implementación de políticas y complejos de hardware y software para prevenir vulnerabilidades en la infraestructura de la empresa.
- La introducción de estrictas medidas de control de acceso dentro de la organización.
- Monitoreo y pruebas constantes de todos los elementos de la infraestructura empresarial.
- Actualización de la política de seguridad de la información de acuerdo con los requisitos actuales del estándar PCI DSS.
Resultados de la auditoría QSA
El auditor verifica el cumplimiento de los requisitos del estándar PCI DSS. Recopila evidencia de verificación y confirmación documentada. De acuerdo con el resultado de la verificación, se proporciona al cliente un informe de cumplimiento.
En caso de completar con éxito la verificación, se emiten un certificado de conformidad y un certificado de conformidad. Tienen una validez de un año a partir de la fecha de finalización de la auditoría. Luego, el certificado se envía a sistemas de pago internacionales (VISA, Master Card) o bancos adquirentes. Los resultados de la verificación QSA se almacenan durante 3 años.