Не публикуется публичных таблиц лиг, в которых оценивается, какой объем обрабатывается каждым PCI QSAC. По крайней мере, эта информация не является общедоступной, и по уважительной причине: объемы, обрабатываемые QSA-компанией, являются коммерчески чувствительными. Они дают представление о том, растет или сокращается бизнес, процветает или умирает.
Большая часть работы QSAC никогда не публикуется. Например, я работаю с расположенными рядом дата-центрами, которые несут ответственность за физическую безопасность моих данных. У всех есть AOC, подготовленные QSA от их имени. Ни один из них не зарегистрирован брендами карт и не опубликован иным образом. Чтобы даже знать, что конкретный объект имеет PCI AOC, вы должны спросить менеджера по работе с клиентами, который может предоставить вам копию текущего AOC для проверки.
В большинстве случаев на веб-сайтах компаний упоминается, что у них есть PCI AOC, и вам следует связаться с ними для получения подробной информации. Учитывая, что единственный способ для посторонних узнать, кто проводил оценку, - это просмотреть AOC, это затрудняет получение истинной картины того, какие QSAC проводят оценку и в каком объеме.
Так что получить глобальное представление обо всем бизнесе QSAC практически невозможно. Однако мы можем измерить их относительное положение на рынке с помощью одного показателя. И Mastercard, и Visa публикуют списки всех поставщиков услуг уровня 1. То есть поставщики услуг, которые прошли оценку PCI DSS под руководством QSA и которые затем предоставили ROC и AOC брендам карт для проверки. Эти списки регулярно обновляются, что дает нам некоторое представление о высшем уровне деятельности по оценке PCI DSS.
Рейтинг поставщиков услуг
Ни Mastercard, ни Visa напрямую не публикуют объемы отчетов, которые они получают от каждого QSAC. Однако их опубликованные списки включают каждого поставщика услуг вместе с названием QSAC, проводящего оценку. Взять эти списки и подсчитать количество оценок, выполненных каждым QSAC, несложно.
Предполагая, что и Mastercard, и Visa видят одинаковые уровни подачи заявок, мы можем использовать данные для одного в качестве прокси для обоих. Следующая таблица была создана на основе снимка поставщиков услуг, загруженного с Visa в середине апреля 2021 года.
На заметку в таблице:
25 самых популярных QSAC по стандарту PCI DSS по данным регистрации поставщика услуг Visa, июня 2021 г.
Большая часть работы QSAC никогда не публикуется. Например, я работаю с расположенными рядом дата-центрами, которые несут ответственность за физическую безопасность моих данных. У всех есть AOC, подготовленные QSA от их имени. Ни один из них не зарегистрирован брендами карт и не опубликован иным образом. Чтобы даже знать, что конкретный объект имеет PCI AOC, вы должны спросить менеджера по работе с клиентами, который может предоставить вам копию текущего AOC для проверки.
В большинстве случаев на веб-сайтах компаний упоминается, что у них есть PCI AOC, и вам следует связаться с ними для получения подробной информации. Учитывая, что единственный способ для посторонних узнать, кто проводил оценку, - это просмотреть AOC, это затрудняет получение истинной картины того, какие QSAC проводят оценку и в каком объеме.
Так что получить глобальное представление обо всем бизнесе QSAC практически невозможно. Однако мы можем измерить их относительное положение на рынке с помощью одного показателя. И Mastercard, и Visa публикуют списки всех поставщиков услуг уровня 1. То есть поставщики услуг, которые прошли оценку PCI DSS под руководством QSA и которые затем предоставили ROC и AOC брендам карт для проверки. Эти списки регулярно обновляются, что дает нам некоторое представление о высшем уровне деятельности по оценке PCI DSS.
Рейтинг поставщиков услуг
Ни Mastercard, ни Visa напрямую не публикуют объемы отчетов, которые они получают от каждого QSAC. Однако их опубликованные списки включают каждого поставщика услуг вместе с названием QSAC, проводящего оценку. Взять эти списки и подсчитать количество оценок, выполненных каждым QSAC, несложно.
Предполагая, что и Mastercard, и Visa видят одинаковые уровни подачи заявок, мы можем использовать данные для одного в качестве прокси для обоих. Следующая таблица была создана на основе снимка поставщиков услуг, загруженного с Visa в середине апреля 2021 года.
На заметку в таблице:
- Показаны только 25 лучших QSAC по представленным отчетам;
- Учитываются только оценки PCI DSS, но не PCI PIN или какие-либо другие;
- В некоторых случаях Visa по какой-то причине оставляла название QSAC пустым. В этих случаях запись игнорировалась.
| Компания | Оценки |
|---|---|
| Trustwave Holdings, Inc. | 190 |
| ControlCase, ООО | 92 |
| Компания по производству платежного программного обеспечения (PSC) | 88 |
| Комплаенс Контроль ООО | 76 |
| Coalfire Systems, Inc. | 69 |
| SISA Information Security Pvt Ltd | 67 |
| SecurityMetrics, Inc. | 53 |
| A-LIGN Compliance and Security, Inc., dba A-LIGN | 53 |
| К3ДЭС, ООО | 48 |
| MCI Communications, Inc. dba Verizon Business Services | 48 |
| Foregenix Ltd. | 42 |
| Advantio Limited | 41 |
| Schellman & Company, ООО | 41 |
| Дара Безопасность | 38 |
| Sysnet Limited, dba Sysnet Global Solutions | 36 |
| atsec (Пекин) Информационные технологии Лтд. | 34 |
| 1stSecureIT LLC (dba GM SECTEC) | 32 |
| Информация Exchange Inc. | 30 |
| 1st Secure IT, ООО | 29 |
| ШИФР | 28 |
| SRC Security Research & Consulting GmbH | 28 |
| Международный центр сертификации системы менеджмента | 28 |
| ООО «МегапланИТ Холдингс» | 27 |
| Панацея Инфосек (П) Лтд. | 24 |
| Secure Vectors Information Technologies Inc. | 23 |
