Annexe C : Auto-attestation pour les modifications mineures de versions
Instructions de transmission
Le fournisseur de l’application de paiement et l’évaluateur de sécurité qualifié des applications de paiement (PA-QSA) doivent remplir ce document qui fait office de déclaration sur l’état de conformité de l’application de paiement vis-à-vis de la norme de sécurité des données des applications de paiement
(PA-DSS). Le fournisseur de l’application de paiement doit remplir toutes les sections et transmettre au
PA-QSA le document d’analyse de changement accompagné de la présente auto-attestation.
Suite à la vérification de la documentation fournie, le PA-QSA doit remplir les sections applicables et transmettre ce document au PCI SSC, accompagné des copies de tous les documents requis, en respectant les instructions du PCI SSC en matière de cryptage et de transmission des rapports.
Partie 1. Informations sur le fournisseur de l’application de paiement
Nom de l’entreprise :
Nom du contact : Poste occupé :
Téléphone :
Adresse professionnelle :
État/province :
Adresse
électronique :
Ville :
Pays : Code postal :
URL :
Partie 1a. Informations sur l’application de paiement
Nom et numéro de version de l’application de paiement « parente » figurant actuellement sur la liste du
PCI SSC :
Nom de l’application existant :
Numéro d’approbation du PCI SSC
:
Numéro de version existant :
Nouveaux nom et numéro de version de l'application de paiement, le cas échéant :
Nouveau nom de l’application : Nouveau numéro de version :
Description des modifications, le cas échéant :
Fonctionnalités de l’application de paiement (cocher toutes les cases correspondantes) :
Point de vente Panier d’achat
Middleware (intergiciel) Règlement
Carte absente
Passerelle :
Pompe à essence automatisée Autres (préciser) :
Guide du programme PCI PA-DSS v. 1.2, Auto-attestation pour les modifications mineures de versions
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 35
Marché visé par l’application :
Guide du programme PCI PA-DSS v. 1.2, Auto-attestation pour les modifications mineures de versions
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 36
Partie 2. Informations sur la société PA-QSA
Nom de l’entreprise :
Nom du principal contact
PA-QSA :
Téléphone :
Poste occupé :
Adresse
électronique :
Ville :
Pays :
Adresse professionnelle :
État/province : Code postal :
URL :
Partie 3. Confirmation du statut de modification
Partie 3a. Attestation du fournisseur de l’application de paiement
En se basant sur l’analyse de changement interne et sur la documentation de l’analyse de changement, (PA Vendor Name) déclare le statut suivant pour la ou les applications et versions identifiées dans la partie 1a de ce document au (date) (cocher les cases correspondantes) :
Des modifications mineures uniquement ont été apportées à l'application « parente » indiquée cidessus, dans le but de créer la nouvelle application également susmentionnée n’impliquant
aucun impact sur les exigences PA-DSS.
Toutes les modifications ont été inscrites avec exactitude dans le document d’analyse de changement de la partie 2 transmis au PA-QSA.
Toutes les informations figurant dans cette auto-attestation illustrent en toute honnêteté les résultats de l’analyse de changement, à tous points de vue.
Il n’existe aucune preuve de stockage de données de bande magnétique (c’est-à-dire de pistes)
4
, de données CAV2, CVC2, CID ou CVV2
5
ou de données PIN
6
suite à l’autorisation d’une transaction sur TOUT fichier ou fonctionnalité généré(e) par l'application.
Partie 3b. Attestation du PA-QSA
En se basant sur la documentation d'analyse de changement délivrée par le fournisseur de l'application de paiement indiqué dans la partie 1, (PA-QSA Name) déclare le statut suivant pour la ou les applications et versions identifiées dans la partie 1a de ce document au (date) (cocher les cases correspondantes) :
En se basant sur notre vérification de la documentation de l’analyse de changement, nous attestons que la documentation prend en charge l’affirmation du fournisseur selon laquelle des
modifications mineures uniquement ont été apportées à l'application susmentionnée, n'impliquant ainsi aucun impact sur les exigences PA-DSS.
4
Données de bande magnétique (piste) : Données encodées sur la bande magnétique utilisée pour une autorisation lors d’une transaction carte présente. Les entités ne peuvent pas conserver l’ensemble des données sur bande magnétique après autorisation. Les seuls éléments de données de piste pouvant être conservés sont le numéro de compte, la date d'expiration et le nom du détenteur.
5
La valeur à trois ou quatre chiffres imprimée sur l’espace dédié à la signature ou sur la face avant d’une carte de paiement, utilisée pour vérifier les transactions carte absente.
6
Les données PIN (Personal Identification Number, numéro d’identification personnel) désignent le code saisi par le titulaire de la carte lors d’une transaction carte présente, et/ou le bloc PIN crypté présent dans le message de la transaction.
Guide du programme PCI PA-DSS v. 1.2, Auto-attestation pour les modifications mineures de versions
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 37
Partie 3c. Ratification par le PA-QSA et le fournisseur de l’application
Signature du PA-QSA principal
Ç
Nom du PA-QSA principal
Ç
Signature du cadre supérieur du fournisseur de l’application
Ç
Date
Ç
Poste occupé
Ç
Date
Ç
Nom du cadre supérieur du fournisseur de l’application
Ç
Poste occupé
Ç
Nom de l’entreprise fournissant l’application de paiement représentée
Ç
Guide du programme PCI PA-DSS v. 1.2, Auto-attestation pour les modifications mineures de versions
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 38