QSA(Qualified Security Assessor)는 개인을 지칭하는 용어이자 회사를 의미합니다.
PCI DSS인증과정에서는 꼭 현장 실사를 거치게 되는데
이때 직접 실사를 나오는 개인이 QSA자격을 가지고 있는 사람이어야합니다.
그런데 QSA는 개인이 자기혼자 딸 수 있는건 아니고 꼭 회사의 직원일 경우에만 QSA로 인정받을 수 있습니다.
회사가 하는 역할중 중요한 것은 직원인 QSA의 신뢰성에 대한 보장을 보험으로 제공해야하며
보험가액이 $1,000,000은 됩니다.
보험은 그외에도 다른 요구사항들을 커버합니다.
이렇게 회사와 직원이 아주 밀접하게 결합되어 하나의 QSA가 탄생됩니다.
직원인 QSA는 PCI 위원회에서 개최하는 교육가서 교육받고 시험치르고 통과해야합니다.
CISSP, CISA, CISM중 하나라도 자격증이 있으면 몇가지 혜택이 있군요.
전세계 모든 QSA 목록은 PCI SSC website에서 제공합니다.
https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf
QSA별 비지니스 지역이 표시되어 있고 연락처도 있습니다.
국내에서는 A3 Security가 확인되는군요.
한가지 확인할것은 Supported Languages항목을 보면 Korean을 지원하는 QSA가 상당히 됩니다.
페이게이트 인증을 담당한 ControlCase Inc.(www.controlcase.com)도 그중 한 회사이지요.
PCI 위원회에서는 실사를 거친후 보고서를 요구하는데 이 보고서 언어는 무조건 영어여야한다고 못박고 있습니다.
QSA를 통한 인증과정은 대략 아래와 같습니다.
회사는 Requirements에 대한 확인 및 필요시 보완한이후
각각에 대한 증빙(Evidence)를 준비하여 QSA에게 review를 요청합니다.
QSA의 review이후 evidence를 확정하고
모든 evidence가 100% 준비된것 확인하고 실사하러 옵니다.
실사에서는 evidence가 사실인지 여부를 비교하고 remote로는 확인이 불가한 항목들에 대해서 확인을 진행합니다.
예를 들어 카드번호가 암호화되어 있다는 증빙을 screenshot떠서 보내면 나중에 와서 sample data에 대해서 직접 cardnumber search를 해보고 없음을 확인하는 식입니다.
이렇게 실사를 거치고 돌아가서 RoC (Report on Compliance)를 준비합니다.
RoC는 Evidences와 함께 또다른 QSA에 의한 Cross 검증을 진행한 후 확정합니다.
확정된 RoC는 피인증업체에 제공되고 PCI 위원회에도 보고됩니다.
댓글 없음:
댓글 쓰기