Définition - Que signifie un évaluateur de sécurité qualifié (QSA)?
Un évaluateur de sécurité qualifié (QSA) est une personne autorisée à valider l'adhésion d'une organisation aux exigences de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Un QSA effectue les évaluations et vérifie les contrôles de sécurité et de conformité d'une organisation conformément aux dernières directives fournies par ladite norme. Pour une adhésion efficace à la norme PCI DSS, il est souvent recommandé de faire valider les exigences par un QSA indépendant.
Definir Tech explique Qualified Security Assessor (QSA)
Les consultants en sécurité et les professionnels de l'audit sont souvent les candidats recommandés pour un programme d'évaluateur de sécurité qualifié. Ils peuvent être certifiés et recertifiés en suivant la formation fournie par l'industrie des cartes de paiement et en passant l'examen de certification. Un QSA en cours de recertification doit poursuivre une formation professionnelle continue supplémentaire, qui peut être obtenue à partir d'autres expériences de travail et de formation.
Un QSA doit fournir aux commerçants des évaluations de la sécurité des données sur place, une analyse des écarts, une consultation de l'industrie des cartes de paiement et doit donner des conseils, y compris des services de correction, si nécessaire. Un QSA doit comprendre les différents aspects de l'infrastructure d'une organisation, y compris la segmentation du réseau virtuel, les contrôles informatiques physiques environnants, les contrôles spécifiques à la virtualisation, etc.
Utiliser un QSA pourrait s'avérer coûteux et pourrait être moins économique que d'utiliser des ressources de sécurité internes. Cependant, une validation par une tierce partie peut aider à évaluer les domaines clés et les contrôles qui pourraient être manqués et peut également fournir la diligence nécessaire. Un QSA peut également aider une organisation à répondre à toutes les exigences fournies par l'industrie des cartes de paiement. Dans ce cas, les ressources internes d'une organisation ne doivent pas être détournées d'autres projets.