If any person can do, the same can be accepted as per the compliance
requirement of any standard such as ISO 27001, PCI-DSS etc.
Parlando specificatamente a PCI, gli stati DSS (ad esempio):
11.3.1.b Verify that the test was performed by a qualified internal
resource or qualified external third party and, if applicable,
organizational independence of the tester exists (not required to
be a QSA or ASV).
"qualificato" in questo caso significa "come determinato dal QSA che esegue l'audit." Ho eseguito test di penetrazione come membro di un'azienda sotto PCI-DSS e gli auditor hanno chiesto di vedere il mio curriculum, che comprendeva anni di esperienza di sicurezza, il CISSP e un numero di certificati GIAC (non Pentest). Era facilmente sufficiente per loro.
Come per qualsiasi altra cosa sotto PCI-DSS, il tuo chilometraggio può variare in base al tuo QSA. E, tornando alla domanda più ampia di altri standard come ISO 27001, lo stesso è vero ... i requisiti per le credenziali del tester di penna non sono generalmente codificati negli standard, ma piuttosto lasciati al giudizio dell'auditor.