QSA denetimi (Nitelikli Güvenlik Değerlendiricisi), kuruluşun PCI DSS standardına uygunluğunu doğrulamanın son aşamasıdır. Denetim, QSA denetimi için sertifikalara sahip şirketin çalışanları tarafından gerçekleştirilir.
Doğrulama yalnızca finansal kuruluşlar, ödeme ağ geçitleri veya veri merkezleri olan tüzel kişiler için yapılır. İkinci ön koşul, yılda en az 300.000 işlemdir. Ek bir koşul, otomatik modda düzenli ASV taramasıdır.
Denetim yalnızca ödeme sistemlerinden sorumlu olan işletmenin altyapısını etkiler, bu nedenle müşterinin ağın gerekli bölümünü önceden izole etmesi önerilir.
PCI DSS uyumluluğu
Denetim gereksinimleri
İncelemeyi geçerken kuruluşa 250’den fazla talepte bulunulur. Bunlar 6 gruba ayrılmıştır.
- Güvenli kurumsal altyapının oluşturulması ve sürdürülmesi.
- Banka kartı sahipleri hakkındaki bilgilerin gizliliğini sağlamak.
- Şirketin altyapısındaki güvenlik açıklarını önlemek için politikaların ve yazılım ve donanım komplekslerinin uygulanması.
- Kuruluş içinde katı erişim kontrol önlemlerinin getirilmesi.
- İşletmenin altyapısının tüm unsurlarının sürekli izlenmesi ve test edilmesi.
- PCI DSS standardının güncel gerekliliklerine uygun olarak bilgi güvenliği politikasının güncellenmesi.
QSA Denetim sonuçları
Denetçi, PCI DSS standardının gerekliliklerine uygunluğu kontrol eder. Doğrulama sertifikalarını ve belgelenmiş kanıtları toplar. İncelemenin sonucu üzerine müşteriye uygunluk raporu sunulur.
Doğrulamanın başarılı olması durumunda uygunluk belgesi ve uygunluk belgesi düzenlenir. Denetimin bitiminden itibaren bir yıl süreyle geçerlidirler. Sertifika daha sonra uluslararası ödeme sistemlerine (VİSA, Master Card) veya alıcı bankalara gönderilir. QSA doğrulama sonuçları 3 yıl süreyle saklanır.