Um QSA PCI DSS (Qualified Security Assessor, avaliador de segurança qualificado) é um profissional certificado pelo PCI SSC habilitado para realizar avaliações formais de conformidade. Saber quando é obrigatório e quando se pode prescindir dele pode representar a diferença entre uma despesa de dezenas de milhares de euros e um processo de conformidade gerível internamente. A resposta depende quase sempre do nível de comerciante e da amplitude do ambiente de dados de titulares de cartão.
QSA PCI DSS: o papel e as certificações exigidas
O QSA é formado e certificado diretamente pelo PCI Security Standards Council. Para obter a qualificação, o profissional deve concluir um curso oficial, ser aprovado num exame e trabalhar para uma empresa de consultoria acreditada (QSA Company) que cumpra os requisitos do PCI SSC. A lista atualizada de empresas qualificadas está disponível no sítio oficial do Conselho. Na Europa operam várias QSA Companies, tanto internacionais com escritório local como firmas especializadas.
O QSA não é apenas um auditor: pode prestar aconselhamento durante o processo de conformidade, identificar lacunas relativamente aos requisitos e ajudar a definir a documentação necessária para o Report on Compliance (RoC). No entanto, não tem poder certificador autónomo: o reconhecimento formal depende do adquirente ou da rede de pagamento que aceita o RoC ou o AOC (Attestation of Compliance).
Quando o QSA é obrigatório: Nível 1 e casos particulares
Para os comerciantes classificados como Nível 1 (mais de 6 milhões de transações anuais com Visa ou Mastercard, ou que tenham sofrido uma violação de dados), o RoC elaborado por um QSA externo é obrigatório. O mesmo se aplica aos Fornecedores de Serviços de Nível 1, que processam mais de 300.000 transações por ano em nome de outros comerciantes. Nestes casos não existe alternativa: o adquirente exige o RoC assinado por um QSA acreditado como condição para manter o contrato de adquirência.
Para os níveis inferiores (Nível 2, 3 e 4), o comerciante pode muitas vezes preencher autonomamente um SAQ (Self-Assessment Questionnaire) sem envolver um QSA. A escolha do SAQ correto depende do método de aceitação de pagamentos e da amplitude do CDE. Um comerciante que utiliza apenas uma payment page externa em redirecionamento pode qualificar-se para o SAQ A, que tem 22 requisitos face aos mais de 300 do RoC completo.
Como reduzir o âmbito para tornar o QSA opcional
A estratégia mais direta para evitar o QSA obrigatório é descer de nível de comerciante, o que exige reduzir o volume de transações ou sair do perímetro de risco com a ajuda de um fornecedor certificado. Tokenizar os dados de cartão com um serviço certificado PCI DSS Level 1 transfere a responsabilidade de guardar os PAN para fora da sua infraestrutura. O seu CDE reduz-se apenas aos componentes que interagem com as API do vault, muitas vezes qualificáveis com um SAQ D simplificado ou até um SAQ A-EP.
Mesmo quem é formalmente Nível 1 pode beneficiar da redução de âmbito: um CDE mais pequeno significa um RoC mais rápido, menos horas de avaliação do QSA e custos que diminuem proporcionalmente. Uma avaliação sobre um ambiente reduzido a poucos componentes bem documentados pode custar metade de um ambiente distribuído com dezenas de sistemas no âmbito.
Perguntas frequentes
Um QSA também pode certificar o meu fornecedor de serviços?
Sim, mas apenas se o fornecedor estiver dentro do âmbito da avaliação. O QSA pode avaliar o ecossistema completo, incluindo os fornecedores de serviços que fazem parte do fluxo de pagamento. Se o fornecedor já dispuser da sua própria certificação PCI DSS (como a PCI Proxy EU), o seu AOC pode ser incluído como evidência na avaliação, reduzindo o trabalho do QSA sobre a sua cadeia de fornecimento.
Quanto custa uma avaliação com QSA?
O custo depende da amplitude do CDE e do número de sistemas no âmbito. Para um comerciante Nível 1 com um ambiente médio, os custos situam-se entre 20.000 e 60.000 euros para um RoC completo. Para ambientes reduzidos ou SAQ assistidos, os custos descem para 5.000-15.000 euros. A principal diferença é dada pelo número de dias de análise no local, que varia de 3-5 dias para ambientes simples a mais de 20 dias para infraestruturas complexas.
Posso usar um ISA em vez de um QSA?
O Internal Security Assessor (ISA) é um colaborador da empresa certificado pelo PCI SSC para realizar avaliações internas. O ISA pode gerir o processo de conformidade autonomamente para a sua própria organização, mas não pode emitir RoC válidos para terceiros. Para comerciantes Nível 1 que têm de apresentar um RoC ao adquirente, o ISA não substitui o QSA externo. O ISA é, contudo, muito útil para gerir a conformidade contínua entre uma avaliação e a seguinte.
Reduza o perímetro PCI antes mesmo de falar com um QSA. Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.