Como escolher um QSA no Brasil

Se sua empresa está buscando a certificação PCI DSS, um passo fundamental é escolher o QSA (Qualified Security Assessor) que vai conduzir a auditoria oficial e emitir o ROC (Report on Compliance) e o AoC (Attestation of Compliance). Mas com tantas opções no mercado, como escolher o melhor QSA no Brasil para o seu projeto? 

Neste artigo, vamos explicar quem são os QSAs ativos no Brasil, os critérios que você deve avaliar antes de contratar um auditor PCI DSS, além de dicas sobre contratos e SLAs recomendados para evitar surpresas no meio do processo. 

QSA (Qualified Security Assessor) é uma empresa ou profissional certificado pelo PCI Security Standards Council (PCI SSC) para realizar auditorias oficiais de conformidade PCI DSS. 

 

O QSA é responsável por: 

✅ Realizar a auditoria formal; 
✅ Validar os controles de segurança implementados; 
✅ Analisar evidências e documentação; 
✅ Conduzir entrevistas com as equipes da sua empresa; 
✅ Emitir o ROC e o AoC ao final da avaliação. 

O PCI Security Standards Council mantém uma lista oficial e pública de QSAs ativos em cada país, incluindo o Brasil. 

PCI Security Standards Council – Protect Payment Data with Industry-driven Security Standards, Training, and Programs 

Importante: Antes de contratar, sempre valide se a empresa escolhida está com o status "Active" no site oficial. 

 

✅ 1. Experiência com empresas do seu setor 

Nem todo QSA tem experiência com todos os tipos de ambiente. Se sua empresa é um e-commerce, uma fintech ou uma adquirente, o ideal é escolher um QSA que já tenha atuado com empresas similares. 

 

Perguntas-chave: 

• Quantas certificações PCI DSS o QSA já fez para empresas do meu setor? 

• Há cases de sucesso que eles podem compartilhar? 

 

✅ 2. Capacidade de atendimento local 

Embora a auditoria PCI DSS possa ser feita de forma remota, contar com um QSA que tenha equipe baseada no Brasil facilita: 

• Entendimento de particularidades locais; 

• Redução de custos de deslocamento; 

• Agilidade na comunicação. 

 

Dica: Verifique se o QSA tem escritório no Brasil ou equipe dedicada para clientes brasileiros. 

 

✅ 3. Qualidade na condução da pré-avaliação 

Antes da auditoria oficial, muitos QSAs oferecem uma pré-avaliação (gap assessment). Isso ajuda a evitar constatações críticas. 

 

O que avaliar: 

• O QSA oferece uma pré-avaliação estruturada? 

• Entrega um relatório de gaps com recomendações claras? 

• Tem um cronograma realista para a auditoria oficial? 

 

✅ 4. Flexibilidade no cronograma 

O PCI DSS tem datas rígidas de recertificação. Por isso, o QSA precisa ter agenda disponível para realizar a auditoria dentro da sua janela de validade. 

 

Perguntas para o QSA: 

• Qual o prazo médio de entrega do ROC e AoC? 

• Quais são os SLAs para análise de evidências? 

• Quantos projetos PCI DSS o QSA tem em andamento (para evitar gargalos)? 

 

✅ 5. Transparência nos preços e contratos 

Peça sempre um contrato claro, que inclua: 

• Escopo detalhado da auditoria; 

• Valor total e condições de pagamento; 

• Cronograma de atividades; 

• Política de retrabalho caso sejam encontradas não conformidades; 

• SLA de entrega dos documentos finais. 

 

Faixa de preços no Brasil (2025): 
Os valores podem variar de R$ 30.000 a R$ 250.000, dependendo do escopo e da complexidade da sua infraestrutura. 

 

✅ 6. Pós-auditoria: suporte e disponibilidade 

A auditoria não termina com a entrega do AoC. É importante escolher um QSA que ofereça: 

• Suporte para esclarecimento de dúvidas após a emissão do relatório; 

• Atendimento em caso de contestação por adquirentes ou bandeiras; 

• Orientação para planos de remediação, se necessário. 

Para evitar atrasos e surpresas, inclua SLAs específicos no contrato com o QSA, como: 

Etapa	SLA sugerido
Entrega do plano de auditoria	Até 7 dias após assinatura
Agendamento de entrevistas com equipes internas	Máximo 2 semanas
Prazo para análise de evidências	Até 10 dias úteis por ciclo de entrega
Entrega do ROC preliminar	Até 30 dias após término da auditoria de campo
Entrega final do AoC	Até 10 dias após aprovação do ROC

 

Dica: Verifique se o contrato prevê penalidades em caso de descumprimento dos prazos. 

É importante entender que o QSA é o auditor, enquanto a consultoria PCI (como a Cipher, por exemplo) é quem ajuda sua empresa a se preparar para a auditoria. 

 

Função da consultoria: 

• Fazer gap assessment; 

• Ajudar a corrigir não conformidades; 

• Auxiliar na produção de evidências; 

• Treinar a equipe para a auditoria. 

Função do QSA: 

• Avaliar se os requisitos PCI DSS estão atendidos; 

• Emitir os documentos oficiais de conformidade. 

 

Dica: Muitas empresas contratam a consultoria e o QSA de fornecedores diferentes para manter a imparcialidade. 

A Cipher oferece: 

✅ Consultoria especializada para ajudar sua empresa a se preparar para a auditoria; 
✅ Suporte na definição de escopo e produção de documentação; 
✅ Apoio na escolha do QSA com melhor custo-benefício e cronograma adequado; 
✅ Análise de gaps e pré-auditoria completa; 
✅ Suporte técnico e estratégico durante todo o processo. 

Escolher um QSA no Brasil vai muito além de olhar preço. É uma decisão estratégica que impacta diretamente o sucesso (ou fracasso) da sua certificação PCI DSS. 

Avalie com cuidado experiência, disponibilidade, metodologia, SLAs e histórico de entregas antes de fechar o contrato. E, se possível, conte com uma consultoria como a Cipher para garantir que sua empresa chegue à auditoria oficial totalmente preparada. 

Entre em contato com a Cipher e agende uma análise gratuita para seu projeto PCI DSS