Présentation du processus d’acceptation des rapports
PA-DSS
Le PA-QSA vérifie l'application de paiement conformément aux Procédures
d'évaluation de sécurité PA-DSS et rédige un rapport avec le fournisseur. Si tous les points abordés dans le rapport sont « en place », le fournisseur signe l’Accord de diffusion, que le PA-QSA envoie ensuite au PCI SSC. Si certains points abordés dans le rapport ne sont pas « en place », le fournisseur doit mettre en évidence les points en question dans le rapport. Il peut s’agir par exemple d’une mise à jour logicielle ou d’une mise à jour de la documentation destinée aux utilisateurs. Lorsque le PA-QSA estime que tous les problèmes ont été résolus par le fournisseur, ce dernier signe l’Accord de diffusion que le
PA-QSA envoie ensuite au PCI SSC.
Notez que tous les rapports PA-DSS et autres supports soumis au PCI SSC doivent être rédigés en anglais.
Le PCI SSC reçoit le rapport et effectue une dernière vérification d’assurance qualité. Si le rapport répond aux exigences d'assurance qualité, conformément aux exigences de conformité pour les évaluateurs de sécurité qualifiés et aux documents connexes, le PCI SSC envoie une lettre d’acceptation PA-DSS au fournisseur et ajoute l’application à la liste du PCI SSC avant la fin du mois, pour les applications qui ont
été finalisées avant le 10 du mois. Si le PCI SSC remarque des problèmes de qualité au niveau du rapport, il les communique au PA-QSA. Dès lors, il incombe au PA-QSA de résoudre ces problèmes avec le PCI SSC. La résolution des problèmes peut se limiter à la mise à jour du rapport avec la documentation appropriée, de manière à obtenir un rapport conforme aux décisions du PA-QSA. Toutefois, si les problèmes en question entraînent un examen plus approfondi, le PA-QSA doit spécifier au fournisseur qu'un test supplémentaire est nécessaire et le programmer avec lui.
Le schéma du processus d’acceptation des rapports est détaillé dans la Figure 1.
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 18
