¿Qué es un Qualified Security Assessor?

Un Qualified Security Assessor (QSA) es un auditor certificado por el PCI SSC —tanto el individuo como la firma que lo emplea— autorizado a evaluar organizaciones contra PCI DSS y a redactar el Report on Compliance (RoC) que las marcas de tarjetas aceptarán. Hay aproximadamente 350 empresas QSA en todo el mundo; entre las firmas británicas están Bridewell, NCC Group, BSI y Coalfire. Una evaluación de Nivel 1 dirigida por un QSA cuesta normalmente entre 30.000 y 80.000 libras y se prolonga durante semanas o meses. Los evaluadores individuales tienen que recualificarse cada año; la propia QSA Company es revalidada anualmente por el Council.

El QSA se sitúa en la cúspide de la jerarquía de evaluadores PCI. No es lo mismo que un Internal Security Assessor (ISA) —misma formación, pero empleado en plantilla por un comercio que hace su propia evaluación— ni es un Approved Scanning Vendor (ASV), que solo se ocupa de los escaneos externos de red trimestrales. Una evaluación QSA cubre los 12 dominios de requisitos de PCI DSS, y al final del trabajo se firma el Report on Compliance y la correspondiente Attestation of Compliance que se presentan ante tu adquirente. Si eres un comercio de Nivel 1 o un proveedor de servicios, ese RoC firmado no es opcional: ninguna otra firma de evaluador cuenta.

Qué hace un Qualified Security Assessor

Un Qualified Security Assessor (QSA) es una persona que ha sido certificada por el PCI Security Standards Council (PCI SSC) para evaluar el cumplimiento de una organización con PCI DSS. Los QSA son los auditores independientes del mundo de la seguridad de tarjetas de pago: examinan tus sistemas, prueban tus controles, revisan tus políticas y, en última instancia, determinan si cumples el estándar.

Los QSA no trabajan de forma independiente. Están empleados por QSA Companies (QSACs): firmas que han sido aprobadas por el PCI SSC para llevar a cabo evaluaciones PCI DSS. Tanto el evaluador individual como su empleador deben cumplir requisitos específicos de cualificación y calidad fijados por el Council.

Cómo se cualifican los QSA

Convertirse en QSA no es simplemente cuestión de aprobar un examen. El PCI SSC fija requisitos rigurosos tanto para el individuo como para su organización.

• Experiencia profesional: los candidatos a QSA deben demostrar una experiencia significativa en seguridad de la información, normalmente mediante una combinación de cualificaciones profesionales (como CISA, CISSP o ISO 27001 Lead Auditor) y experiencia práctica en evaluaciones de seguridad.
• Formación del PCI SSC: los candidatos deben completar el programa oficial de formación QSA del PCI SSC, que cubre en detalle los requisitos de PCI DSS, la metodología de evaluación, la recogida de evidencias y el reporte.
• Recualificación anual: los QSA deben recualificarse cada año asistiendo a formación de actualización y aprobando el examen actualizado. Esto garantiza que se mantienen al día a medida que evoluciona el estándar.
• Requisitos de la empresa: la propia QSA Company debe contar con seguro de responsabilidad profesional, mantener procesos de aseguramiento de la calidad y someterse a su propia revalidación anual por parte del PCI SSC.

Cuándo necesitas un QSA

No todas las organizaciones que procesan pagos con tarjeta necesitan contratar a un QSA. Si lo necesitas o no depende de tu nivel de comercio y de los requisitos de tu banco adquirente.

Los comercios de Nivel 1 —los que procesan más de seis millones de transacciones con tarjeta al año— tienen que someterse a una evaluación in situ anual realizada por un QSA. El QSA elabora un Report on Compliance (RoC) y una Attestation of Compliance (AoC) que documentan formalmente los hallazgos de la evaluación.

Los proveedores de servicios de Nivel 1 —empresas que almacenan, procesan o transmiten datos del titular de la tarjeta por cuenta de los comercios— también necesitan una evaluación QSA.

Los comercios más pequeños (Niveles 2, 3 y 4) pueden validar normalmente el cumplimiento mediante un Cuestionario de Autoevaluación (SAQ) sin un QSA. Sin embargo, algunos bancos adquirentes exigen a los comercios de Nivel 2 que usen un QSA, y cualquier organización puede contratar voluntariamente a un QSA si quiere una evaluación independiente y experta de su postura de seguridad.

Qué implica una evaluación QSA

Una evaluación QSA es un examen exhaustivo de tu entorno de datos del titular de la tarjeta y de los controles que lo protegen. El proceso suele incluir lo siguiente.

Definición de alcance

El QSA trabaja con la organización para definir el alcance de la evaluación, identificando cada sistema, segmento de red, proceso y persona que toca datos del titular de la tarjeta. Acertar con el alcance es crítico: demasiado estrecho y arriesgas dejar fuera algo; demasiado amplio y pierdes tiempo y dinero evaluando sistemas que no lo necesitan.

Revisión documental

El QSA revisa políticas de seguridad, procedimientos, diagramas de red, diagramas de flujo de datos, configuraciones de sistemas y listas de control de acceso. Este papeleo forma la base de la evaluación y demuestra que la organización ha documentado formalmente sus controles de seguridad.

Pruebas técnicas

El QSA prueba los controles directamente: comprueba configuraciones de firewall, examina implementaciones de cifrado, verifica que se han cambiado las contraseñas por defecto, prueba controles de acceso y revisa los logs. Aquí es donde la teoría se encuentra con la realidad: el QSA busca evidencias de que los controles no solo están documentados, sino que funcionan de verdad en la práctica.

Entrevistas al personal

El QSA entrevista al personal a distintos niveles para verificar que se ha impartido formación de concienciación en seguridad, que la gente entiende sus responsabilidades y que los procedimientos se siguen en el día a día. Una política que nadie conoce ni sigue no es un control eficaz.

Elaboración del informe

Tras completar la evaluación, el QSA elabora el Report on Compliance (RoC): un documento detallado que cubre cada requisito de PCI DSS, si la organización lo cumple y las evidencias que respaldan esa conclusión. El RoC va acompañado de la Attestation of Compliance (AoC), que es el documento resumen que se comparte con los bancos adquirentes y las marcas de tarjetas.

Elegir un QSA

Si tu organización necesita un QSA, elegir bien importa. Aquí van algunas consideraciones prácticas.

• Experiencia sectorial: algunas firmas QSA se especializan en sectores concretos: retail, hostelería, sanidad o centros de contacto. Un QSA que entiende tu sector será más eficiente y te dará orientación más relevante.
• Conocimiento de telefonía: para organizaciones que aceptan pagos por teléfono, es importante elegir un QSA que entienda los entornos de telefonía, el enmascaramiento DTMF, la grabación de llamadas y los retos de cumplimiento específicos que esto crea. No todos los QSA tienen este conocimiento.
• Estilo de comunicación: los mejores QSA explican los requisitos en lenguaje claro y te ayudan a entender no solo lo que tienes que hacer sino por qué. Un QSA que entierra todo en jerga no está aportando valor.
• Apoyo en la remediación: algunas firmas QSA ofrecen servicios de asesoramiento para ayudarte a cerrar brechas antes de la evaluación formal. Esto puede ahorrar tiempo y dinero, pero asegúrate de que las funciones de asesoramiento y de evaluación se mantienen separadas para mantener la independencia.

Los QSA y los entornos de pago telefónico

Los entornos de pago telefónico presentan retos particulares para las evaluaciones QSA. El alcance suele incluir la infraestructura de telefonía, los sistemas de grabación de llamadas, los puestos de los agentes, los segmentos de red y, a veces, incluso los entornos de teletrabajo de los agentes remotos.

Las organizaciones que usan enmascaramiento DTMF para mantener los datos de tarjeta fuera de su entorno de telefonía pueden simplificar significativamente la evaluación QSA. Como los datos de tarjeta nunca entran en los sistemas del comercio, el QSA puede confirmar un alcance mucho más reducido, a menudo limitado a la relación con el proveedor de pagos certificado en PCI DSS Nivel 1 en lugar de toda la infraestructura del centro de contacto.

Este es uno de los beneficios más prácticos de la reducción de alcance: no solo reduce el número de controles de seguridad que tienes que implementar, también reduce el coste, la duración y la complejidad de la propia evaluación QSA.