Modifications apportées au document. PCI PA-DSS

Vous trouverez ci-dessous de brèves informations sur les applications de paiement. Ce guide du programme PCI PA-DSS v. 1.2 illustre l'harmonisation des exigences des marques de cartes de paiement, combinées pour former un ensemble normalisé d'exigences de sécurité et de procédures d'évaluation des applications de paiement.

PDF Télécharger

Document

Modifications apportées au document

Date

1 er

octobre 2008

Version

1.2

Description

Aligner le contenu avec la nouvelle procédure PCI DSS v1.2 et implémenter les changements mineurs notés depuis la v1.1 d’origine.

Guide du programme PCI PA-DSS v. 1.2

Octobre 2008

Page 1

Table des matières

Modifications apportées au document ..................................................................................................... 1

Introduction ................................................................................................................................................. 3

Publications associées ............................................................................................................................. 3

Mises à jour des documents et des exigences de sécurité ...................................................................... 3

Terminologie ............................................................................................................................................. 3

À propos de la PCI.................................................................................................................................... 4

Présentation de l’initiative d’alignement PA-DSS ..................................................................................... 4

Rôles et responsabilités............................................................................................................................ 5

Considérations propres aux fournisseurs – Préparation à la vérification............................................ 8

À quelles applications la norme PA-DSS s’applique-t-elle ? .................................................................... 8

Avant la vérification................................................................................................................................... 9

Documentation et supports nécessaires .................................................................................................. 9

Calendrier de vérification PA-DSS.......................................................................................................... 10

Évaluateurs de sécurité qualifiés des applications de paiement ............................................................ 10

Services PA-DSS connexes pouvant être proposés par les PA-QSA.................................................... 10

Support technique lors des tests ............................................................................................................ 11

Accord de diffusion et transmission du rapport ...................................................................................... 11

Frais ........................................................................................................................................................ 11

Présentation des processus PA-DSS ..................................................................................................... 12

Figure 1 : Processus d’acceptation des rapports PA-DSS ..................................................................... 13

Figure 2 : Changements PA-DSS apportés à des applications listées .................................................. 14

Figure 3 : Capitalisation et migration d’applications PABP vers la liste PA-DSS ................................... 15

Figure 4 : Revalidation annuelle PA-DSS et renouvellement d’applications arrivées à expiration ........ 16

Figure 5 : Programmes d’assurance qualité des PA-QSA pour les vérifications de rapports ................ 17

Présentation du processus d’acceptation des rapports PA-DSS ........................................................ 18

Modifications apportées aux applications de paiement répertoriées ................................................. 19

Renouvellement des applications expirées ........................................................................................... 22

Migration et capitalisation d'applications de paiement conformes au programme PABP................ 23

Programme d’assurance qualité ............................................................................................................. 25

Processus d’acceptation des rapports PA-DSS .................................................................................... 27

Notification faisant suite à une faille ou à un incident de sécurité...................................................... 28

Clauses et conditions légales.................................................................................................................. 30

Annexe A : Éléments de la lettre d’acceptation et de la liste des applications de paiement

conformes à la norme PA-DSS .......................................................................................... 31

Annexe B : Identification des builds d’applications de paiement certifiées..................................... 34

Annexe C : Auto-attestation pour les modifications mineures de versions ..................................... 35

Guide du programme PCI PA-DSS v. 1.2

Octobre 2008

Page 2

Caractéristiques clés

Harmonisation des exigences de sécurité pour les applications de paiement.
Processus d'identification des applications conformes.
Processus de migration des applications PABP vers la liste PA-DSS.
Processus d'assurance qualité pour les PA-QSA.

Questions fréquemment posées

La norme PA-DSS s'applique aux applications de paiement généralement vendues « prêtes à l'emploi » sans modification apportée par les fournisseurs de logiciels.

Les PA-QSA sont des QSA (Qualified Security Assessors, évaluateurs de sécurité qualifiés) qualifiés et formés par le PCI SSC pour effectuer des vérifications PA-DSS.

Les fournisseurs devront s’acquitter de frais d'inscription de 1 250 $ (environ 800 €) pour chaque application de paiement inscrite sur la liste des applications de paiement du PCI SSC.