Introduction
Publications associées
Les documents suivants constituent la base des évaluations des applications de paiement :
Norme de sécurité des données des applications de paiement
(PA-DSS) de l’industrie des cartes de paiement (PCI) –
Exigences et procédures d’évaluation de sécurité
Norme de sécurité des données des applications de paiement
(PA-DSS) de l’industrie des cartes de paiement (PCI) –
Procédures de migration
Les documents complémentaires ci-après sont utilisés conjointement à ceux précédemment cités :
Norme de sécurité des données de l’industrie des cartes de
paiement (PCI) – Exigences et procédures d’évaluation de sécurité
Norme de sécurité des données de l’industrie des cartes de
paiement (PCI) - Glossaire des termes, abréviations et acronymes
Normes de sécurité des données de l’industrie des cartes de
paiement (PCI) – Exigences de conformité pour les évaluateurs de sécurité qualifiés (QSA)
Normes de sécurité des données de l’industrie des cartes de
paiement (PCI) - Exigences de conformité pour les évaluateurs de sécurité qualifiés – Addendum pour les évaluateurs de sécurité qualifiés des applications de paiement (PA-QSA)
Remarque :
Les exigences et procédures d’évaluation de sécurité de la
norme PA-DSS listent les exigences techniques spécifiques et fournissent les procédures et le modèle d’évaluation utilisés pour valider la conformité de l’application de paiement et documenter la vérification. Les deux documents sur les exigences de conformité des QSA définissent les exigences auxquelles un PA-
QSA doit satisfaire pour pouvoir réaliser des évaluations.
Tous les documents sont disponibles au format
électronique sur le site www.pcisecuritystandards.org.
Mises à jour des documents et des exigences de sécurité
La sécurité est une course sans fin contre les attaquants potentiels. Il est par conséquent nécessaire de régulièrement vérifier, mettre à jour et améliorer les exigences de sécurité utilisées pour l’évaluation des applications de paiement. Le PCI SSC fera en sorte de mettre à jour tous les 24 mois les exigences de sécurité concernant les applications de paiement.
Le PCI SSC se réserve le droit de changer, de modifier ou de retirer des exigences de sécurité à tout moment.
En pareille situation, le PCI SSC fera en sorte de travailler en étroite collaboration avec sa communauté d’organisations participantes et de fournisseurs de logiciels, afin de réduire l’impact de telles modifications.
Terminologie
Expressions spécifiques utilisées dans ce document :
« PCI SSC » désigne le PCI Security Standards Council, LLC (le Conseil des normes de sécurité de la PCI).
« PABP » (Payment Application Best Practices, meilleures pratiques des applications de paiement) désigne l’ancien programme de Visa, sur lequel est basée la norme PA-DSS (Payment Application
Data Security Standard, norme de sécurité des données des applications de paiement).
« Marques de cartes de paiement » désigne les marques de cartes de paiement qui sont membres du PCI SSC, soit à l’heure actuelle American Express, Discover, JCB, MasterCard et Visa.
« Applications de paiement » désigne de manière générale toutes les applications de paiement qui stockent, traitent ou transmettent des données de titulaire de carte dans le cadre d'une autorisation ou d'un règlement, lorsque ces applications de paiement sont vendues, distribuées ou cédées sous licence à des parties tierces.
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 3
