Совет PCI SSC запускает программу поддержки качества QSA-аудита

На ежегодной встрече QSA-аудиторов Совет PCI SSC объявил об ужесточении требований к процессу проведения сертификационного аудита.

В рамках программы поддержки качества Совет будет выборочно проверять Отчеты о Соответствии, а также сопоставлять представленную в них информацию с собранными в ходе аудита свидетельствами.

Меры, направленные на обеспечение объективности onsite-оценки выполнения требований стандарта, помимо оценки качества Отчетов о Соответствии, включают в себя также оценку деятельности компании-QSA и компетентности QSA-аудиторов.

Целью программы поддержки качества является обеспечение четырех основополагающих принципов деятельности QSA-аудитора: объективности, обоснованности, компетентности и сознательности.

К критичным нарушениям QSA-аудитором процедуры проверки относятся:

• сокрытие аудитором факта хранения критичных аутентификационных данных в инфраструктуре проверяемой организации;

• отсутствие статуса QSA у лица, руководящего процессом аудита на объекте;

• заведомо ложная трактовка аудитором требований стандарта;

• обозначение в Отчете о Соответствии невыполненного требования как выполненного.

В случае обнаружения Советом таких нарушений последует лишение компании-аудитора статуса QSA, а также пересмотр результатов проведенных ею аудитов, вплоть до отзыва выданных ею Сертификатов Соответствия.

Для обеспечения возможности проведения подобных проверок, QSA-аудиторы должны сохранять полученные в ходе аудита свидетельства (схемы, документы, записи интервью, скриншоты и т. п.) не менее трех лет.

Открыто обсудить вопросы, связанные с качеством работы QSA можно здесь.