Processus d’acceptation des rapports PA-DSS
Le PCI SSC base l’acceptation des rapports uniquement sur les résultats documentés figurant dans le
Rapport sur la conformité. À la réception du rapport, les scénarios suivants peuvent se dérouler :
Le PCI SSC vérifie le rapport (généralement dans les trente jours civils suivant la réception) et détermine s’il est acceptable ou non.
Si aucun problème (ou aucune question) à communiquer au PA-QSA n'est soulevé(e), le PCI SSC adresse au fournisseur de logiciels la facture relative aux frais d’inscription. Une fois le règlement des frais d'inscription reçu, le PCI SSC émet une lettre d'acceptation PA-DSS et publie l’application de paiement et les informations concernant le fournisseur sur le site Web.
Si des questions ou des problèmes sont soulevés et communiqués au PA-QSA, la procédure décrite ci-dessus reprend à compter de la réception d'un rapport (ou d'une réponse) complet, acceptable et révisé (« Rapport révisé ») fourni par le PA-QSA. La procédure ne redémarre qu’à la réception d’un rapport révisé acceptable traitant tous les éléments précédemment identifiés mais restant en instance. Généralement, le PCI SSC vérifie les rapports révisés dans les quatorze jours civils suivant leur réception.
Si d’autres questions ou problèmes apparaissent, le cycle se répète jusqu'à réception d’une réponse satisfaisante. Ce n’est qu’à ce moment-là que le PCI SSC émet la lettre d'acceptation PA-
DSS et publie les informations appropriées sur le site Web. Il est possible de soulever des questions ou des problèmes supplémentaires à tout moment avant l'émission de la lettre d'acceptation PA-DSS.
Pour les rapports relatifs aux modifications apportées aux versions des applications répertoriées existantes, basés sur l’auto-attestation de modification des fournisseurs, le processus d’acceptation des rapports PA-DSS est identique à celui indiqué ci-dessus ; le PCI SSC doit émettre une lettre d’acceptation PA-DSS révisée et publier les informations mises à jour sur le site Web, à moins que des questions soient soulevées, d'une façon similaire à celle mentionnée ci-dessus.
La lettre d’acceptation du PCI SSC et l'inscription sur le site Web doivent contenir au minimum les informations ci-dessous. Chaque caractéristique est détaillée dans l’annexe A : Éléments de la lettre
d’acceptation et de la liste des applications de paiement conformes à la norme PA-DSS.
Fournisseur de l’application de paiement
Identifiant de l’application de paiement
Remarque :
Auto-attestation pour les modifications mineures de versions, le cas échéant
Date de revalidation annuelle
Le PCI SSC ne garantit aucune
« approbation partielle » par rapport
à la capacité d'une application de paiement à respecter certaines exigences, et non la totalité d’entre elles.
d’expiration
Type d’application de paiement
Marché visé par l’application de paiement, le cas échéant
Région ou localité spécifique pour l’application de paiement, le cas échéant
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 27
