Si cualquier persona puede hacerlo, se puede aceptar lo mismo según el cumplimiento
requisito de cualquier norma como ISO 27001, PCI-DSS, etc.
Hablando específicamente a PCI, el DSS declara (por ejemplo):
11.3.1.b Verify that the test was performed by a qualified internal
resource or qualified external third party and, if applicable,
organizational independence of the tester exists (not required to
be a QSA or ASV).
"calificado" en este caso significa "según lo determinado por el QSA que realiza la auditoría". He realizado pruebas de penetración como miembro de una empresa bajo PCI-DSS, y los auditores me pidieron ver mi currículum, que incluía años de experiencia en seguridad, el CISSP y varios certificados GIAC (no de Pentest). Fue fácilmente suficiente para ellos.
Al igual que con cualquier otra cosa bajo PCI-DSS, su millaje puede variar según su QSA. Y, volviendo a la cuestión más amplia de otras normas, como ISO 27001, lo mismo es cierto ... los requisitos para las credenciales de los examinadores de bolígrafos generalmente no están codificados en las normas, sino que se dejan a criterio del auditor.