Índice:
- Definição - O que significa Qualified Security Assessor (QSA)?
- Techopedia explica Qualified Security Assessor (QSA)
Definição - O que significa Qualified Security Assessor (QSA)?
Um avaliador de segurança qualificado (QSA) é um indivíduo autorizado a validar a adesão de uma organização aos requisitos do PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento). Um QSA conduz as avaliações e audita os controles de segurança e conformidade de uma organização, de acordo com as diretrizes mais recentes fornecidas pelo referido padrão. Para uma aderência efetiva ao PCI DSS, geralmente é recomendável ter os requisitos validados por um QSA independente.
Techopedia explica Qualified Security Assessor (QSA)
Consultores de segurança e profissionais de auditoria geralmente são os candidatos recomendados para um programa qualificado de avaliador de segurança. Eles podem ser certificados e recertificados, participando do treinamento fornecido pelo setor de cartões de pagamento e passando no exame de certificação. Um QSA submetido a uma recertificação precisa buscar educação profissional continuada adicional, que pode ser obtida com outras experiências de trabalho e treinamento.
Um QSA precisa fornecer aos comerciantes avaliações de segurança de dados no local, análise de lacunas, consulta do setor de cartões de pagamento e deve fornecer conselhos, incluindo serviços de correção, se necessário. Um QSA precisa entender os diferentes aspectos da infraestrutura de uma organização, incluindo segmentação de rede virtual, controles de tecnologia da informação física envolvente, controles específicos da virtualização etc.
Usar um QSA pode ser caro e menos econômico do que usar recursos de segurança interna. No entanto, uma validação de terceiros pode ajudar na avaliação das principais áreas e controles que podem ser perdidos e também pode fornecer a diligência necessária. Um QSA também pode ajudar uma organização a atender a todos os requisitos fornecidos pelo setor de cartões de pagamento. Nesse caso, os recursos internos de uma organização não precisam ser desviados de outros projetos.