À propos de la PCI. PCI PA-DSS

À propos de la PCI

Le PCI SSC reflète une volonté émanant des acteurs de l’industrie des cartes de paiement (PCI,

Payment Card Industry), à tous les niveaux, d'aligner et de normaliser les exigences de sécurité, les procédures d'évaluation de sécurité et les processus d’identification des applications de paiement jugées conformes par un PA-QSA. La norme PA-DSS et les normes associées du PCI SSC définissent un cadre commun pour les évaluations de sécurité, reconnu par toutes les marques de cartes de paiement.

Toutes les parties prenantes du processus de paiement tirent des avantages de l’alignement des exigences :

ƒ les clients vont bénéficier d’une gamme plus étendue d’applications de paiement sécurisées ;

ƒ les clients sont assurés d’utiliser des produits répondant au niveau de conformité requis ;

ƒ les fournisseurs devront simplement réaliser une seule vérification d’application de paiement, qui sera reconnue par toutes les marques de cartes de paiement.

Pour de plus amples informations sur le PCI SSC, reportez-vous au site Web du PCI SSC : www.pcisecuritystandards.org

(ci-après dénommé « le site Web »).

Présentation de l’initiative d’alignement PA-DSS

Le présent Guide du programme de la norme PA-DSS de la PCI (Payment Card Industry) illustre un alignement des exigences des marques de cartes de paiement, combinées pour former un ensemble normalisé :

ƒ d’exigences de sécurité et de procédures d’évaluation des applications de paiement ;

Remarque :

ƒ de processus d’identification des applications de paiement jugées conformes par les PA-QSA ;

Les rapports PA-DSS sont vérifiés et identifiés directement par le PCI SSC.

ƒ de processus permettant la migration vers la liste du PCI SSC des applications de paiement conformes au programme PABP ;

ƒ de processus d’assurance qualité pour les PA-QSA.

Il se peut que la conformité conventionnelle aux normes PCI DSS ne s'applique pas directement aux fournisseurs d'applications de paiement car la plupart des fournisseurs ne stockent, ne traitent et ne transmettent pas de données de titulaire de carte. Cependant, étant donné que ces applications de paiement sont utilisées par les clients pour stocker, traiter et transmettre des données de titulaire de carte, et que les clients sont dans l'obligation de respecter les normes PCI DSS, les applications de paiement doivent aider (et non empêcher) le client à se conformer aux normes PCI DSS. Exemples de la façon dont les applications de paiement peuvent empêcher la conformité aux normes PCI DSS :

1. données de bande magnétique stockées sur le réseau du client après expiration du délai d’autorisation ;

2. applications nécessitant que les clients désactivent d'autres fonctions requises par les normes

PCI DSS, telles que les programmes antivirus ou les pare-feu, afin que l'application de paiement fonctionne correctement ;

3. utilisation par le fournisseur de méthodes non sécurisées pour se connecter à l'application afin d’apporter une assistance au client.

Les applications de paiement sécurisées, lorsqu'elles sont mises en œuvre dans un environnement conforme PCI DSS, réduisent autant que possible le risque de voir les failles de sécurité compromettre les données de bande magnétique, les codes et valeurs de validation de carte (CAV2, CID, CVC2,

CVV2), les codes et les blocs PIN, ainsi que la fraude résultant de ces failles.

Guide du programme PCI PA-DSS v. 1.2

Copyright 2008 PCI Security Standards Council LLC

Octobre 2008

Page 4