我知道PCI内部安全评估员（ISA）可签署商家合规报告（ROC），但ISA可以验证1级商家同时也是服务提供商的合规性吗？如果不可以，应该如何处理这种情况？

Matthew Pascucci：内部安全评估员和合格安全评估员（QSA）之间存在差异，他们能够验证的评估也有所不同。在这些评估中，还有特定级别的提供商和商家需要不同标准的验证。

内部安全评估员通常是被评估企业的内部员工，这种近距离接触业务可更好地了解系统所有者的流程，但当涉及1级服务提供商时，则需要有第三方视角。

服务提供商被定义为代表另一家企业或组织处理、存储或传输持卡人数据的实体。与商家一样，现在有多个级别的服务提供商，1级商家需要合格安全评估员来完成合规报告。

1级服务提供商每年执行超过30万次信用卡交易，相比之下，2级服务提供商允许进行年度自我评估调查，内部安全评估员就已经足够。

Mastercard公司表示，成功完成现场评估和季度网络扫描需要30万笔交易。现场评估合规报告必须由MasterCard公司的合格安全评估员完成和提交，当在寻找合格安全评估员时，应该瞄准拥有1级服务提供商成功案例经验的评估员。

通过合格安全评估员，企业可通过具有企业外视角和经验的评估员获得现场评估。这并不是与内部安全评估员对立，但可提供对PCI标准的额外观点，让合格安全评估员为评估提供更多经验。

这也是让第三方参与以验证企业是否符合标准，而没有依靠内部资源。但这并不意味着合格安全评估员比内部安全评估员更熟练，只是他们可带来内部安全评估员可能没有的PCI标准相关的体验。

当然，合格安全评估员也有缺点。他们可能更倾向于通过审计，而不用担心企业是否真正安全。这是笔者的猜测，但笔者认为这应该是能够为1级服务提供商完成合规报告的合格安全评估员的心态。

由于1级提供商被用于大量客户交易，有时候涉及特定技术，所以PCI理事会会决定让合格安全评估员为1级服务提供商进行评估。