Programme d’assurance qualité
Le PCI SSC vérifie les rapports des PA-QSA dans une optique d'assurance qualité. Comme stipulé dans les Exigences de conformité pour les évaluateurs de sécurité qualifiés et dans l’Accord PA-QSA, les PA-
QSA doivent respecter les critères d’assurance qualité définis par le PCI SSC. Les différentes étapes du programme d'assurance qualité sont décrites ci-dessous.
Le schéma du processus du programme d’assurance qualité est détaillé dans la Figure 5.
Programme d’échantillonnage pour les nouveaux QSA
Le PCI SSC applique une procédure d'échantillonnage évolutive pour vérifier les Rapports sur la conformité élaborés par les PA-QSA – au début, le PCI SSC vérifie beaucoup de rapports, puis le taux d’échantillonnage réduit à mesure que les rapports des PA-QSA gagnent en qualité. Si le PA-QSA maintient le niveau de qualité, il passe au programme d'échantillonnage pour les QSA expérimentés
(avec des taux d’échantillonnage plus faibles). Tant que le PA-QSA maintient le niveau de qualité, il est soumis à un échantillonnage limité.
Dans le cas contraire, les mesures suivantes sont appliquées :
Lettre d’avertissement : envoyée au PA-QSA en guise de premier rappel l’incitant à améliorer la qualité de ses rapports ;
Rattrapage : Si le niveau de qualité n’est pas maintenu, le PA-QSA passe en phase de rattrapage et peut se voir infliger des sanctions.
Révocation : Si le niveau de qualité n’est pas maintenu, le PA-QSA est révoqué et retiré de la liste des PA-QSA agréés du PCI SSC.
Programme d’échantillonnage pour les PA-QSA expérimentés
Une fois le PA-QSA soumis au programme d'échantillonnage pour les PA-QSA expérimentés, un
échantillonnage limité est appliqué à ses rapports. Si le niveau de qualité est maintenu, l’échantillonnage limité se poursuit. Cette procédure a pour but de maintenir les PA-QSA dans un « état stable ».
Si des problèmes de qualité sont détectés et si le niveau de qualité n’est pas maintenu, le PA-QSA repasse au programme d'échantillonnage pour les nouveaux QSA.
Rattrapage
En phase de rattrapage, les PA-QSA peuvent toujours réaliser des vérifications, mais tous les rapports sont vérifiés par le PCI SSC dans une optique d'assurance qualité. Le PCI SSC facturera 500 $ pour chaque rapport soumis et resoumis en phase de rattrapage.
Le PA-QSA doit également soumettre un plan de rattrapage au PCI SSC précisant comment il prévoit d’améliorer la qualité de ses rapports. Le PCI SSC peut également exiger une visite sur site avec le
PA-QSA pour auditer son programme d’assurance qualité, et ce à la charge du PA-QSA.
Si le PA-QSA atteint un niveau de qualité satisfaisant en phase de rattrapage, il est de nouveau soumis au programme d’échantillonnage pour les nouveaux PA-QSA. S’il n’y parvient pas, il passe à la phase de
Révocation.
Notez que si une application de paiement figurant dans la liste du PCI SSC des applications de paiement conformes à la norme PA-DSS est compromise par une erreur émanant du PA-QSA, celui-ci passe immédiatement en phase de rattrapage. Le PA-QSA doit atteindre un niveau de qualité satisfaisant pour
être de nouveau soumis au programme d’échantillonnage pour les nouveaux PA-QSA.
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 25
Révocation
Lorsqu’un PA-QSA est révoqué, il est retiré de la liste des PA-QSA agréés du PCI SSC. Dès lors, il ne peut plus réaliser de vérifications d’applications de paiement. Il peut faire appel contre sa mise en révocation, mais doit respecter les exigences, conformément aux exigences de conformité pour les
évaluateurs de sécurité qualifiés et aux documents annexes. Le PCI SSC se réserve le droit d’exiger un examen blanc.
Avant d’être de nouveau soumis au programme d’échantillonnage pour les nouveaux PA-QSA, les PA-
QSA doivent régler des frais de réinscription sur la liste s’élevant à 1 250 $.
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 26
