Il PCI SSC (Payment Card Industry Security Standards Council) ha istituito il programma ISA (Internal Security Assessor) come mezzo per la certificazione delle competenze PCI DSS (Payment Card Industry Data Security Standard) di dipendenti che lavorano per commercianti, banche e sistemi di pagamento.
Questa figura è stata progettata per lavorare a stretto contatto con il PCI QSA (Qualified Security Assessors) che certifica i valutatori esterni.
Il programma PCI ISA, infatti, abilita un team di risorse interne addestrate che possono facilmente lavorare con i Qualified Security Assessors e apportare coerenza e affidabilità al processo di conformità interno a un’azienda.
PCI ISA e PCI QSA: il binomio della security nei pagamenti
È importante notare che il programma ISA, a differenza del programma QSA, non è obbligatorio. Si tratta semplicemente di un’opportunità per le organizzazioni di costruire la propria cosiddetta bench strength avendo del personale interno ben qualificato per lavorare nel campo delle conformità dei pagamenti.
Un membro del programma PCI ISA, probabilmente, ha più familiarità con l’ambiente, i processi interni, le conformità e i requisiti della propria organizzazione IT. Nonostante questi vantaggi, però, ai membri ISA può mancare il punto di vista di un estraneo che a volte può essere utile al processo di revisione.
Gli individui che cercano di guadagnare lo status ISA devono essere nominati del partner contrattuale o dal fornitore di servizi che li impiega a tempo pieno e devono completare un programma di formazione (online o di persona) e superare l’esame di certificazione PCI ISA.