Mostrando 2 respuestas a los debates
  • Autor
    Entradas
    • #44433
      soymicmic
      Participante

      Hola, una pregunta un tanto genérica… ¿podríais indicarnos cuales son los pasos a seguir para formarse como QSA?
      He leido «https://www.pcisecuritystandards.org/training/qsa_training.php» pero no me queda claro cuales serían los pasos completos

    • #44537
      David Acosta
      Participante

      Buenas tardes:

      Respecto al proceso de formación de QSA es importante tener presente que el QSA debe trabajar a tiempo completo (full time) a una empresa listada en el sitio web del PCI SSC como «Qualified Security Assessor Companies»: https://www.pcisecuritystandards.org/approved_companies_providers/qualified_security_assessors.php
      Dichas empresas deben demostrar que cuentan con personal especializado y certificado, con amplia experiencia en el campo de la seguridad de la información y con criterios objetivos para realizar una auditoría que cumpla con los requerimientos de las normativas. Así mismo, deben aprobar una auditoría exhaustiva, pagar unos costes de mantenimiento anuales y en función de los resultados, calidad de sus auditorías y feedback de sus clientes pueden ser auditadas nuevamente por el SSC.

      Respecto al QSA, un profesional certificado PCI DSS QSA (Qualified Security Assessor) se encuentra capacitado para ofrecer consultoría objetiva y realizar auditorías de cumplimiento de PCI DSS (sólo una auditoría realizada y validada por un QSA es válida ante el PCI SSC). Dichos profesionales deben pertenecer a una empresa homologada. Esto es: No se pueden hacer auditorías a título personal o sin pertenecer a una empresa homologada.

      El proceso de certificación (a grandes rasgos) es el siguiente:
      – Pertenecer a una empresa homologada, trabajar en dicha empresa a tiempo completo (full time) y pagar una membresía anual.
      – Rellenar el formulario de aplicación demostrando experiencia (mínimo 5 años) y certificaciones relacionadas (CISSP, CISA o CISM).
      – Asistir a una formación presencial específica de QSA ofrecida por el PCI SSC (primera vez) u online (recertificación) anual que incluye un examen.
      – Para recertificación: demostrar un cumplimiento de 120 CPE (Continuing Education Credits) anuales
      – Aceptar las políticas de gestión del PCI SSC.
      – Aparecer publicado en las listas de QSA.
      – Puede certificar entornos P2PE con una formación adicional.

      Más información en https://www.pcisecuritystandards.org/documents/qsa_validation_requirements.pdf

      Así mismo, el PCI SSC puede revocar la certificación a un profesional con base en una serie de criterios específicos. Más información en https://www.pcisecuritystandards.org/documents/QSA_and_PA-QSA_Revocation_FAQ.pdf

    • #44538
      David Acosta
      Participante

      Comentar adicionalmente que los costes (fees) que deben ser pagados al principio o en la recertificación anual de cada uno de los programas del PCI SSC se puede encontrar en esta ubicación: https://www.pcisecuritystandards.org/security_standards/fees.php

Mostrando 2 respuestas a los debates
  • Debes estar registrado para responder a este debate.