Avant la vérification. PCI PA-DSS

Avant la vérification

ƒ Consultez les exigences des normes PCI DSS et de la norme PA-DSS, ainsi que la documentation connexe, via le site Web.

ƒ Définissez/évaluez l’aptitude de l’application de paiement à se conformer à la norme PA-DSS :

• réalisez une analyse des écarts entre le mode de fonctionnement de l’application de paiement soumise à la norme PA-DSS et les exigences de cette dernière ;

• remédiez à tous les écarts potentiels ;

• le PA-QSA peut, s’il le souhaite, réaliser une pré-évaluation ou une analyse des écarts sur l'application de paiement d'un fournisseur. Si le PA-QSA constate des déficiences empêchant de donner un avis favorable, il remettra au fournisseur de logiciels une liste de fonctions de l’application de paiement devant être optimisées avant que ne débute le processus formel de vérification.

ƒ Définissez

Guide de mise en œuvre de la norme PA-DSS satisfait aux exigences de la norme

PA-DSS.

Documentation et supports nécessaires

L’évaluation pose comme exigence que le fournisseur de logiciels transmette au PA-QSA la documentation et les logiciels adéquats.

Tous les documents et informations concernant la norme PA-DSS peuvent être téléchargés via le site

Web. Tous les supports associés à l’application de paiement, tels que les CD d’installation, les manuels, le Guide de mise en œuvre de la norme PA-DSS, etc., et nécessaires pour la vérification, doivent être transmis à un PA-QSA spécifié sur le site Web et non au PCI SSC. Les informations spécifiques se rapportant à la vérification doivent être demandées directement au PA-QSA.

Exemples de documents et éléments à transmettre au PA-QSA :

1. L’application de paiement avec le manuel de l’opérateur ou les instructions.

2. Les accessoires matériels et logiciels nécessaires pour réaliser des simulations de transactions de paiement.

3. La documentation décrivant toutes les fonctions utilisées pour la saisie et l’émission de données et pouvant être utilisées par des développeurs tiers d'applications. Plus spécifiquement, les fonctions associées aux flux de collecte, d'autorisation de paiement, de règlement et de rejet de débit

(lorsqu’ils concernent l’application) doivent être décrites. (Un manuel constitue un exemple de documentation répondant à cette exigence.)

4. La documentation associée à l’installation et à la configuration de l'application, ou qui fournit des informations sur celle-ci. Exemples de telles ressources documentaires :

ƒ Guide de mise en œuvre de la norme PA-DSS

ƒ Guide d’installation logicielle ou les instructions (selon ce qui est fourni aux clients)

ƒ Méthode de numérotation des versions appliquée par le fournisseur

ƒ Documentation sur le contrôle des changements, qui indique la façon dont les changements sont signifiés aux clients

5. Toute documentation complémentaire (schémas et organigrammes, par exemple) contribuant à la vérification de l'application de paiement (le PA-QSA peut, si nécessaire, demander des supports complémentaires).

Guide du programme PCI PA-DSS v. 1.2

Copyright 2008 PCI Security Standards Council LLC

Octobre 2008

Page 9