Modifications apportées aux applications de paiement répertoriées. PCI PA-DSS

Modifications apportées aux applications de paiement répertoriées

Les fournisseurs peuvent mettre à jour les applications de paiement précédemment répertoriées pour différentes raisons, pour ajouter une fonctionnalité auxiliaire ou mettre à niveau la base de référence ou l’application principale par exemple.

Au niveau de la norme PA-DSS, on rencontre généralement trois types de scénarios :

1. Les changements mineurs apportés à une application de paiement répertoriée n’ont pas d’impact sur les exigences PA-DSS. Dans ce cas, le fournisseur de logiciels documente les modifications de la nouvelle version à répertorier en vue de la vérification du PA-QSA. Pour plus d’informations, reportez-vous à la section Aucun impact sur les exigences PA-DSS.

2. Les modifications apportées à une application de paiement répertoriée ont un impact potentiel sur les exigences PA-DSS. Dans ce cas, le fournisseur de logiciels soumet la nouvelle version de l’application de paiement à répertorier, en vue de la vérification complète à effectuer par le PA-

QSA. Pour plus d’informations, reportez-vous à la section Impact potentiel sur les exigences PA-

DSS.

3. Aucune modification apportée à une application de paiement répertoriée. Dans ce cas, seul un formulaire d’attestation annuel est requis. Pour plus d'informations, reportez-vous à la section

Aucune modification apportée à l’application de paiement répertoriée.

Si le fournisseur met à jour des applications précédemment répertoriées et s’il souhaite que la notification de mise à jour de l’application de paiement figure sur la liste, il doit soumettre les détails des modifications au PA-QSA, de préférence à celui qui a effectué la première vérification.

Par la suite, le PA-QSA détermine si une réévaluation de l’application de paiement est nécessaire. Cette décision peut dépendre de l’impact éventuel des modifications sur la sécurité de l’application. Elle peut

également être encouragée par la portée ou l'importance des modifications apportées. Il est en effet possible que la modification n'affecte qu'une fonctionnalité auxiliaire et ne se répercute pas sur l'application de paiement principale.

Si une application de paiement répertoriée a subi des modifications susceptibles d’affecter les exigences PA-DSS, et/ou si le fournisseur souhaite que ces informations figurent dans la lettre d’acceptation PA-DSS et sur le site Web révisé, il doit fournir au PA-QSA une documentation appropriée spécifiant les modifications afin que celui-ci détermine si une

évaluation complète est nécessaire. Si le PA-QSA convient avec le fournisseur de logiciels que les modifications documentées n’ont pas d’impact sur les exigences PA-DSS, ce dernier prépare et signe un formulaire d’auto-attestation de modification, que le PA-QSA signe

également et transmet ensuite au PCI SSC. Le PCI SSC intègre alors les mises à jour à la lettre d’acceptation PA-DSS révisée et sur le site Web.

Pour plus d’informations, reportez-vous à la section ci-dessous Aucun

impact sur les exigences PA-DSS : Nouvelle vérification PA-DSS non

requise.

Remarque :

Si les fournisseurs d’applications de paiement pouvaient moduler la fonctionnalité de paiement, cela permettrait de diminuer le nombre de réévaluations dues aux modifications qui n’ont pas d’impact sur la fonctionnalité de paiement et sur sa sécurité.

Le schéma du processus de modification des applications répertoriées est détaillé dans la Figure 2.

Guide du programme PCI PA-DSS v. 1.2

Copyright 2008 PCI Security Standards Council LLC

Octobre 2008

Page 19

Aucun impact sur les exigences PA-DSS : Nouvelle vérification PA-DSS non requise

Si une application de paiement précédemment répertoriée est révisée et si la révision révèle une modification mineure n’affectant pas sa sécurité, une documentation sur les modifications (une « analyse de changement ») peut être soumise au PA-QSA pour vérification. Il est fortement recommandé au fournisseur de faire appel au PA-QSA qui a effectué la première évaluation.

L’analyse de changement soumise par le fournisseur de logiciels au PA-QSA doit au minimum contenir les informations suivantes :

ƒ le nom de l’application de paiement ;

ƒ le numéro de version de l’application de paiement ;

ƒ le nom et le numéro de version de l’application de paiement associée figurant actuellement sur la liste du PCI SSC ;

ƒ la description de la modification apportée ;

ƒ les raisons de la modification ;

ƒ l’impact éventuel sur les données de titulaire de carte et les fonctions de paiement, ainsi que la nature de l’impact ;

ƒ la description du fonctionnement du processus de modification ;

ƒ la description du test réalisé par le fournisseur pour valider l’absence d’impact sur les exigences de sécurité PA-DSS ;

ƒ les éléments qui expliquent comment et pourquoi les exigences PA-DSS ne sont pas affectées ;

ƒ La description de l’intégration de cette modification dans la méthodologie de gestion des versions appliquée par le fournisseur, incluant la façon dont ce numéro de version indique que la modification est « mineure » ;

ƒ le cas échéant, la description des pratiques/modules de programmation et la démonstration que ces pratiques n’ont pas d’incidences négatives sur les exigences.

Si le PA-QSA convient que la modification, telle que documentée dans l'analyse de changement du fournisseur, n'a pas d'impact négatif sur la sécurité de l'application de paiement, (i) il le spécifie au fournisseur de logiciels, (ii) celui-ci prépare et signe une auto-attestation de modification et l'envoie au

PA-QSA, (iii) le PA-QSA la signe également et la transmet, accompagnée de l’analyse de changement, au PCI SSC, qui (iv) vérifie le formulaire et la documentation dans une optique d’assurance qualité.

Si le PCI SSC estime que la modification n'affecte pas les exigences PA-DSS :

ƒ une lettre d’acception PA-DSS révisée est envoyée au fournisseur ;

ƒ la liste des applications de paiement conformes à la norme PA-DSS du site Web est mise à jour ;

ƒ la date d’expiration et le numéro de version de l'application répertoriée seront les mêmes que ceux de l'application de paiement « parente».

Si le PCI SSC constate des problèmes de qualité relatifs à l’auto-attestation de modification, il les communique au PA-QSA. Les problèmes sont ensuite traités conformément à la procédure décrite précédemment.

Impact potentiel sur les exigences PA-DSS : Nouvelle vérification PA-DSS requise

Si les modifications apportées à l’application de paiement ont un impact sur les exigences PA-DSS, l'application de paiement doit de nouveau être soumise à une évaluation PA-DSS. Le PA-QSA soumet alors un nouveau rapport PA-DSS au PCI SSC pour acceptation. Dans ce cas, le fournisseur peut d’abord soumettre la documentation de modification au PA-QSA, qui détermine ensuite si cette dernière affecte la sécurité de l’application de paiement, conformément aux exigences PA-DSS en vigueur.

Guide du programme PCI PA-DSS v. 1.2

Copyright 2008 PCI Security Standards Council LLC

Octobre 2008

Page 20

Aucune modification apportée à l’application de paiement répertoriée :

Revalidation annuelle requise

Chaque année, à la date de revalidation indiquée sur la liste, le fournisseur de logiciels doit soumettre un formulaire d'attestation de conformité en remplissant la partie 3b. Le formulaire d’attestation de conformité est disponible dans l'annexe C de la norme PA-DSS.

Le schéma du processus de revalidation annuelle est détaillé dans la Figure 4.

Guide du programme PCI PA-DSS v. 1.2

Copyright 2008 PCI Security Standards Council LLC

Octobre 2008

Page 21