QSA-аудит – это специализированная процедура независимой оценки соответствия организации требованиям стандарта PCI DSS (стандарт безопасности данных индустрии платежных карт), проводимая сертифицированными аудиторами для компаний, обрабатывающих платежные карточные данные. QSA проводит квалифицированный специалист по профессиональной безопасности, прошедшей аккредитацию в Совете по безопасности индустрии платежных карт.
QSA-аудит обязателен для торговых предприятий первого уровня, обрабатывающих более шести миллионов транзакций Visa или четырех миллионов транзакций других платежных систем в год. Процедура также может применяться для организаций более низких уровней при рассмотрении банков-эквайеров или при наличии нарушений безопасности, связанных с компрометацией карточных данных.
Квалификация аудиторов
Квалифицированные оценщики безопасности должны пройти строгую программу сертификации, включая обучение стандарту PCI DSS, практические тесты и регулярную ресертификацию. Квалификация QSA предполагает глубокие знания в области информационной безопасности, платежных технологий и соответствия требованиям, что позволяет объективно оценивать сложность ИТ-сред.
Процесс проведения аудита
Аудит начинается с определения области действия стандарта и картирования всех систем, обрабатывающих, хранящих или передающих данные держателей карт. QSA-аудитор проводит детальный анализ сетевой структуры, систем управления доступом, процедур обработки данных, политической безопасности и технических средств защиты информации.
В рамках аудита оценивается соответствие всем двенадцати требованиям PCI DSS:
- Установка и поддержка сетевых средств контроля безопасности (включая межсетевые экраны)
- Замена стандартных конфигураций безопасных настроек
- Защита держателей данных картами
- Шифрование данных при передаче по сетям
- Защита всех систем от инновационного программного обеспечения
- Разработка безопасных систем и приложений
- Защита доступа к держателям данных карты по принципу «необходимо знать»
- Идентификация и аутентификация доступа к системным компонентам
- Определение физического доступа к держателям карты
- Регистрация и мониторинг общего доступа к сетевым ресурсам и данным держателей карт
- Регулирование процессов безопасности
- Поддержание комплексной политики информационной безопасности
Документооборот и отчетность
QSA-аудитор составляет подробный отчет о соответствии (Отчет о соответствии), документируя все проверенные элементы, выявленные несоответствия и рекомендации по их устранению. Отчет включает подробное описание методологии проверок, результатов тестирования и подтверждения соответствия каждому стандарту оборудования.
При обнаружении требований PCI DSS организация должна разработать план корректирующих действий с указанием сроков ограничения недостатков. QSA может провести повторную проверку исправленных элементов для подтверждения соответствия достижениям и выдачи окончательного сертификата.
Сроки действия и обновления
Сертификат соответствия PCI DSS действует в течение одного года, после чего требуется проведение нового QSA-аудита. Между полными аудитами организация должна проводить самооценку и использовать любые изменения в инфраструктуре, которые могут соответствовать стандарту.
Успешное прохождение QSA-аудита обеспечивает соблюдение индустриальных требований безопасности, снижение рисков штрафов от платежных систем, повышение доверия партнеров и клиентов, а также соблюдение общих принципов системы информационной безопасности организации.