Table des matières:
- Définition - Que veut dire Qualified Security Assessor (QSA)?
- Techopedia explique l'évaluateur de sécurité qualifié (QSA)
Définition - Que veut dire Qualified Security Assessor (QSA)?
Un évaluateur de sécurité qualifié (QSA) est une personne autorisée à valider l'adhésion d'une organisation aux exigences de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Un QSA effectue les évaluations et vérifie les contrôles de sécurité et de conformité d'une organisation conformément aux dernières directives fournies par ladite norme. Pour une adhésion efficace à la norme PCI DSS, il est souvent recommandé de faire valider les exigences par un QSA indépendant.
Techopedia explique l'évaluateur de sécurité qualifié (QSA)
Les consultants en sécurité et les professionnels de l'audit sont souvent les candidats recommandés pour un programme d'évaluateur de sécurité qualifié. Ils peuvent être certifiés et recertifiés en assistant à la formation dispensée par l'industrie des cartes de paiement et en réussissant l'examen de certification. Un QSA subissant une recertification doit poursuivre une formation professionnelle continue supplémentaire, qui peut être obtenue à partir d'autres expériences de travail et de formation.
Un QSA doit fournir aux commerçants des évaluations sur place de la sécurité des données, une analyse des lacunes, une consultation de l'industrie des cartes de paiement et doit fournir des conseils, y compris des services de correction, si nécessaire. Un QSA doit comprendre les différents aspects de l'infrastructure d'une organisation, y compris la segmentation du réseau virtuel, les contrôles des technologies de l'information physique environnants, les contrôles spécifiques à la virtualisation, etc.
L'utilisation d'un QSA pourrait s'avérer coûteuse et pourrait être moins économique que l'utilisation de ressources de sécurité internes. Cependant, une validation par un tiers peut aider à évaluer les domaines clés et les contrôles qui pourraient être manqués et peut également fournir la diligence nécessaire. Un QSA peut également aider une organisation à répondre à toutes les exigences fournies par l'industrie des cartes de paiement. Dans ce cas, les ressources internes d'une organisation n'ont pas besoin d'être détournées d'autres projets.
