Considérations propres aux fournisseurs – Préparation à la vérification
À quelles applications la norme PA-DSS s’applique-t-elle ?
Dans le cadre de la norme PA-DSS, une application de paiement se définit comme l’élément qui stocke, traite ou transmet des données de titulaire de carte dans le cadre d'une autorisation ou d'un règlement, lorsque cette application est vendue, distribuée ou cédée sous licence à des parties tierces.
Le guide suivant peut être utilisé pour déterminer si la norme PA-DSS s'applique à une application de paiement donnée :
La norme PA-DSS s'applique aux applications de paiement généralement vendues « prêtes à l'emploi » sans modification apportée par les fournisseurs de logiciels.
La norme PA-DSS concerne les applications de paiement fournies dans des modules, habituellement composés d'un module de base et d'autres modules spécifiques aux types de clients ou fonctions, ou personnalisés à la demande du client. Il se peut que la norme PA-DSS s'applique uniquement au module de base si ce module est le seul exécutant les fonctions de paiement (après confirmation par un PA-QSA). Si d'autres modules réalisent des fonctions de paiement, la norme PA-DSS s'applique également à ces modules. Notez que, pour les fournisseurs de logiciels, l'isolement des fonctions de paiement en un seul ou quelques modules de base (en réservant les autres modules pour les fonctions autres que le paiement) constitue une « meilleure pratique ». Cette meilleure pratique (bien qu'elle ne constitue pas une exigence) peut limiter le nombre de modules soumis à la norme PA-DSS.
La norme PA-DSS NE s'applique PAS à une application de paiement développée pour un seul client et vendue à celui-ci, puisque cette application sera couverte dans le cadre de la vérification de conformité PCI DSS standard du client. Remarque : Une telle application (que l'on peut qualifier d'application « sur mesure ») est vendue à un seul client (en général un commerçant ou un prestataire de services important) et elle est conçue et développée selon les spécifications du client.
La norme PA-DSS NE s'applique PAS aux applications de paiement développées par des commerçants et des prestataires de services si elles sont utilisées en interne uniquement (et non vendues, distribuées ou cédées sous licence à une partie tierce), puisque de telles applications de paiement doivent être couvertes dans le cadre de la conformité normale du prestataire de services aux normes PCI DSS.
Par exemple, concernant les deux derniers points ci-dessus, le fait que l'application de paiement développée en interne ou sur mesure stocke des données d'authentification sensibles interdites ou autorise des mots de passe complexes doit être couvert dans le cadre de la conformité normale du commerçant ou du prestataire de services aux normes PCI DSS et ne requiert pas d'évaluation
PA-DSS distincte.
La liste non exhaustive suivante fournit des exemples d'applications AUTRES que des applications de paiement dans le cadre de la norme PA-DSS (et qui, par conséquent, n'ont pas besoin d'être soumises aux vérifications PA-DSS) :
les systèmes d'exploitation sur lesquels une application de paiement est installée (par exemple Windows, Unix) ;
les systèmes de base de données stockant des données de titulaire de carte (par exemple Oracle) ;
les systèmes de back office stockant les données de titulaire de carte
(par exemple, pour les besoins de reporting ou du service client).
Remarque :
Le PCI SSC répertorie
UNIQUEMENT les applications de paiement.
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 8
