A auditoria QSA (Qualified Security Assessor) é a última etapa da verificação de uma organização quanto à conformidade com o padrão PCI DSS. A auditoria é realizada por funcionários de uma empresa que possui certificados de auditoria QSA.
A verificação é realizada apenas para pessoas jurídicas que são organizações financeiras, gateways de pagamento ou data centers. O segundo pré-requisito é um mínimo de 300.000 transações por ano. Uma condição adicional é a varredura ASV regular no modo automático.
A auditoria afeta apenas a infraestrutura da empresa, que é responsável pelos sistemas de pagamento, portanto, o cliente é aconselhado a isolar antecipadamente a parte necessária da rede.
PCI DSS compliance
Requisitos de auditoria
Ao passar na inspeção, mais de 250 requisitos são impostos à organização. Eles são divididos em 6 grupos.
- Criação e suporte de uma infraestrutura empresarial segura.
- Garantir a confidencialidade das informações sobre os titulares de cartões bancários.
- Implementação de políticas e complexos de hardware e software para prevenir vulnerabilidades na infraestrutura da empresa.
- A introdução de medidas rígidas de controle de acesso dentro da organização.
- Monitoramento e testes constantes de todos os elementos da Infraestrutura Corporativa.
- Atualizar a Política de segurança da informação de acordo com os requisitos atuais da norma PCI DSS.
Resultados da auditoria QSA
O auditor verifica a conformidade com os requisitos da norma PCI DSS. Ele coleta evidências de verificação e confirmação documentada. De acordo com o resultado da verificação, o cliente recebe um relatório de Conformidade.
Em caso de conclusão bem-sucedida da verificação, são emitidos um certificado de conformidade e um certificado de Conformidade. Eles são válidos por um ano a partir da data de conclusão da auditoria. O certificado é então enviado para sistemas de pagamento internacionais (VISA, Master Card) ou bancos adquirentes. Os resultados da verificação QSA são armazenados por 3 anos.