PA-DSS - PCI Security Standards Council
Contents
1. Security a Standards Council Modifications apport es aux applications de paiement r pertori es Les fournisseurs peuvent mettre jour les applications de paiement pr c demment r pertori es pour diff rentes raisons pour ajouter une fonctionnalit auxiliaire ou mettre niveau la base de r f rence ou l application principale par exemple Au niveau de la norme PA DSS on rencontre g n ralement trois types de sc narios 1 Les changements mineurs apport s une application de paiement r pertori e n ont pas d impact sur les exigences PA DSS Dans ce cas le fournisseur de logiciels documente les modifications de la nouvelle version r pertorier en vue de la v rification du PA QSA Pour plus d informations reportez vous la section Aucun impact sur les exigences PA DSS 2 Les modifications apport es une application de paiement r pertori e ont un impact potentiel sur les exigences PA DSS Dans ce cas le fournisseur de logiciels soumet la nouvelle version de l application de paiement r pertorier en vue de la v rification compl te effectuer par le PA QSA Pour plus d informations reportez vous la section Impact potentiel sur les exigences PA DSS 3 Aucune modification apport e une application de paiement r pertori e Dans ce cas seul un formulaire d attestation annuel est requis Pour plus d informations reportez vous la section Aucune modification apport e l application de paie2. Security m Standards Council Payment Card Industry PCI Payment Application Data Security Standard PA DSS Guide du programme Version 1 2 Octobre 2008 Security a Standards Council Modifications apport es au document Date Version Description er Aligner le contenu avec la nouvelle proc dure PCI DSS v1 2 et ISO een DE impl menter les changements mineurs not s depuis la v1 1 d origine Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 1 Security a Standards Council Table des mati res Modifications apport es au dOCUmMENT nissan 1 IntrOduCtiON Meene E E E E E E E a a EE 3 Publications ASSOCI ES minene en ne nette ii aeaaea a a aaia 3 Mises jour des documents et des exigences de s curit 3 Mecania ote SRE EE RER Re 3 Apropos de la PC loinen i a ag an AE AE et A A ar 4 Pr sentation de l initiative d alignement PA DSS is 4 R les et responsabilit s 23 222248 ateliers redire tee Honneurs 5 Consid rations propres aux fournisseurs Pr paration la v rification 8 quelles applications la norme PA DSS s applique t elle snn 1s00n1s00n1eenineninenissninnninnnnienninenninans 8 Avant la V rification nensnnn rendent iieiaeie iadaa den er d ve ne 9 Documentation et supports n cessaires is 9 Calendrier de v rification PADS SSSR ee nome 10 valuateurs de s curit qualifi s des applications de paiement 10 Servi
3. jour logicielle ou d une mise jour de la documentation destin e aux utilisateurs Lorsque le PA QSA estime que tous les probl mes ont t r solus par le fournisseur ce dernier signe l Accord de diffusion que le PA QSA envoie ensuite au PCI SSC Le PCI SSC re oit le rapport et effectue une derni re v rification d assurance qualit Si le rapport r pond aux exigences d assurance qualit conform ment aux exigences de conformit pour les valuateurs de s curit qualifi s et aux documents connexes le PCI SSC envoie une lettre d acceptation PA DSS au fournisseur et ajoute l application la liste du PCI SSC avant la fin du mois pour les applications qui ont t finalis es avant le 10 du mois Si le PCI SSC remarque des probl mes de qualit au niveau du rapport il les communique au PA QSA D s lors il incombe au PA QSA de r soudre ces probl mes avec le PCI SSC La r solution des probl mes peut se limiter la mise jour du rapport avec la documentation appropri e de mani re obtenir un rapport conforme aux d cisions du PA QSA Toutefois si les probl mes en question entra nent un examen plus approfondi le PA QSA doit sp cifier au fournisseur qu un test suppl mentaire est n cessaire et le programmer avec lui Le sch ma du processus d acceptation des rapports est d taill dans la Figure 1 Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 18
4. tre consid r e comme accept e par le PCI SSC ni obtenir le statut Accept e Par exemple si une application de paiement porte le m me nom ou le m me num ro de version qu une application de paiement v rifi e par le PA QSA alors qu elle n est pas identique cette derni re elle ne doit pas tre consid r e comme accept e ou obtenir le statut Accept e Aucun fournisseur ni partie tierce ne peut se r f rer une application de paiement ayant le statut Approuv e par la PCI ou Approuv e par le PCI SSC ni en aucun cas d clarer ou laisser supposer que le PCI SSC a int gralement ou partiellement approuv un aspect de l activit d un fournisseur ou de ses applications de paiement sauf dans la mesure et selon les termes et restrictions express ment d finis dans un accord crit avec le PCI SSC ou dans une lettre d acceptation PA DSS Toutes les autres r f rences l acceptation du PCI SSC sont strictement interdites par le PCI SSC Le PCI SSC accorde une acceptation pour garantir certains crit res de s curit et de mise en uvre qui lui permettent d atteindre ses objectifs Toutefois cette acceptation ne doit en aucun cas inclure d approbation ou de garantie sous quelque forme que ce soit par rapport la fonctionnalit la qualit ou aux performances d un produit ou d un service particulier Le PCI SSC ne garantit aucun produit ou service fourni par des tierces parties L acceptation
5. Conforme la Inacceptable pour 1 1 la norme PA les nouveaux norme PA les nouveaux modification DSS d ploiements DSS d ploiements de la norme Le sch ma du processus de capitalisation et de migration d applications PABP est d taill dans la Figure 3 Applications en cours de v rification PABP lors de la migration Un d lai de tol rance d environ six mois a d but compter de la sortie de la norme PA DSS version 1 1 permettant aux PA QSA de se familiariser avec la nouvelle norme de suivre une formation et de se qualifier pour r aliser des v rifications PA DSS De la m me fa on les fournisseurs ont pu utiliser cette p riode pour se familiariser avec la norme PA DSS et appliquer les nouvelles exigences PA DSS lors du d veloppement de leurs nouvelles applications de paiement Guide du programme PCI PA DSS v 1 2 Copyright 2008 PCI Security Standards Council LLC Octobre 2008 Page 23 Security a Standards Council Pendant la p riode de tol rance les applications peuvent continuer tre valu es par rapport au programme PABP version 1 4 La p riode de tol rance s tend jusqu au 15 octobre 2008 Les rapports soumis au del de cette date ne seront pas accept s et n obtiendront pas l attestation de conformit au programme PABP Les rapports bas s sur le programme PABP version 1 4 et soumis apr s le 15 octobre 2008 doivent tre soumis aux proc dures de migration PA DSS Le PA QSA peut utilis
6. QSA et de suivre le processus de s lection de fournisseurs de leur entreprise Services PA DSS connexes pouvant tre propos s par les PA QSA Aucun de ces services n est exig ni recommand par le PCI SSC Cette liste est fournie afin de donner des exemples des types de services pouvant tre propos s par les PA QSA Si ces services pr sentent un int r t pour votre entreprise veuillez contacter les PA QSA pour conna tre leur disponibilit et leur prix Exemples de services PA DSS connexes Orientation pour la conception d applications de paiement conformes la norme PA DSS V rification du logiciel d un fournisseur sa phase de conception r ponse aux questions par e mail et t l phone participation des t l conf rences afin de clarifier les exigences Orientation pour la pr paration du Guide de mise en uvre de la norme PA DSS Services de pr valuation analyse des carts avant l valuation formelle PA DSS Orientation pour la mise en conformit de l application de paiement la norme PA DSS si des carts ou des non conformit s sont constat s lors de l valuation Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 10 Security a Standards Council Support technique lors des tests Il est recommand au fournisseur de tenir disposition un employ du support technique qui pourra r pondre aux ventuelles questions lor
7. affirmation du fournisseur selon laquelle des modifications mineures uniquement ont t apport es l application susmentionn e n impliquant ainsi aucun impact sur les exigences PA DSS Donn es de bande magn tique piste Donn es encod es sur la bande magn tique utilis e pour une autorisation lors d une transaction carte pr sente Les entit s ne peuvent pas conserver l ensemble des donn es sur bande magn tique apr s autorisation Les seuls l ments de donn es de piste pouvant tre conserv s sont le num ro de compte la date d expiration et le nom du d tenteur 5 La valeur trois ou quatre chiffres imprim e sur l espace d di la signature ou sur la face avant d une carte de paiement utilis e pour v rifier les transactions carte absente Les donn es PIN Personal Identification Number num ro d identification personnel d signent le code saisi par le titulaire de la carte lors d une transaction carte pr sente et ou le bloc PIN crypt pr sent dans le message de la transaction Guide du programme PCI PA DSS v 1 2 Auto attestation pour les modifications mineures de versions Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 37 Security E Standards Council Partie 3c Ratification par le PA QSA et le fournisseur de l application Signature du PA QSA principal Date Nom du PA QSA principal Poste occup Signature du cadre sup rieur du fournisseur de Date
8. de l application de tous les programmes relatifs la conformit avec la norme PA DSS y compris des l ments suivants liste non exhaustive toute exigence mandat ou date pour l utilisation des applications de paiement conformes la norme PA DSS toute amende ou p nalit relative l utilisation d applications de paiement non conformes Les marques de cartes de paiement peuvent d finir des programmes de conformit des mandats des dates etc bas s sur la norme PA DSS et les applications de paiement conformes list es par le PCI SSC Via ces programmes de conformit les marques de cartes de paiement font la promotion des applications de paiement conformes list es Payment Card Industry Security Standards Council PCI SSC Le PCI SSC Payment Card Industry Security Standards Council conseil sur les normes de s curit du secteur des cartes de paiement est l organisme de normalisation qui g re les normes du secteur des cartes de paiement dont les normes PCI DSS et PA DSS En ce qui concerne la norme PA DSS le PCI SSC constitue un site de stockage centralis pour les Rapports sur la conformit PA DSS r alise des analyses d assurance qualit sur les Rapports sur la conformit PA DSS afin de v rifier la coh rence et la qualit des rapports dresse sur le site Web la liste des applications de paiement conformes la norme PA DSS cette liste ne sera pas disponible avant octobre 2008 assure la
9. demment identifi s mais restant en instance G n ralement le PCI SSC v rifie les rapports r vis s dans les quatorze jours civils suivant leur r ception Si d autres questions ou probl mes apparaissent le cycle se r p te jusqu r ception d une r ponse satisfaisante Ce n est qu ce moment l que le PCI SSC met la lettre d acceptation PA DSS et publie les informations appropri es sur le site Web Il est possible de soulever des questions ou des probl mes suppl mentaires tout moment avant l mission de la lettre d acceptation PA DSS Pour les rapports relatifs aux modifications apport es aux versions des applications r pertori es existantes bas s sur l auto attestation de modification des fournisseurs le processus d acceptation des rapports PA DSS est identique celui indiqu ci dessus le PCI SSC doit mettre une lettre d acceptation PA DSS r vis e et publier les informations mises jour sur le site Web moins que des questions soient soulev es d une fa on similaire celle mentionn e ci dessus La lettre d acceptation du PCI SSC et l inscription sur le site Web doivent contenir au minimum les informations ci dessous Chaque caract ristique est d taill e dans l annexe A l ments de la lettre d acceptation et de la liste des applications de paiement conformes la norme PA DSS Fournisseur de l application de paiement Remarque Identifiant de l application de paiement Le PCI SSC ne ga
10. le PA QSA en fonction de la effectue les proc dures liste PA DSS de migration PA DSS Indiqu sur la liste PA DSS comme Conforme au PABP et OK pour les nouveaux d ploiements Passer au point B de la Figure 1 La date d expiration figurant dans la liste est d finie sur 24 mois Guide du programme PCI PA DSS v 1 2 Copyright 2008 PCI Security Standards Council LLC Octobre 2008 Page 15 Security Standards Council Figure 4 Revalidation annuelle PA DSS et renouvellement d applications arriv es expiration Revalidation annuelle Renouvellement de l application expir e Attestation de conformit partie 3b Une fois par an avant la date de renouvellement compl ter et envoyer l attestation de conformit Fournisseur de logiciels Passer au point B de la Figure 1 7 fournisseur pr voit il toujours de donc besoin d une aluation vendre l application et a t il Retirer l application de la vente Une fois par an facturer les frais d inscription au fournisseur et demander l attestation de conformit partie 3b Recevoir l attestation de conformit et les frais PCI SSC Mettre jour la date de revalidation annuelle dans la liste D BUT 60 jours avant la date de revalidation annuelle mettre la lettre d avertissement d expiration un PA QSA et au fournisseur de log
11. lois afin d att nuer les risques ou d emp cher tout nouvel incident du m me type Prendre en charge et ou autoriser les valuations sur le produit compromis en interne ou selon les termes de l accord de diffusion en faisant appel aux PA QSA pour identifier l origine de l incident Retrait d approbation Le PCI SSC se r serve le droit de retirer l acceptation d une application de paiement et de la supprimer de la liste des applications de paiement conformes la norme PA DSS lorsqu il est clair que l application de paiement ne dispose pas d une protection suffisante contre les menaces actuelles et ou n est pas conforme aux exigences PA DSS Si le PCI SSC consid re que l application de paiement a une faille de s curit ou a t compromise il informe le fournisseur par crit qu il a l intention de retirer son acceptation concernant cette application de paiement Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 29 Security Standards Council Clauses et conditions l gales L approbation du PCI SSC s applique uniquement aux applications de paiement versions identiques l application de paiement v rifi e par un PA QSA Si un aspect de l application de paiement diff re de celle qui a t test e par le PA QSA m me si l application de paiement est conforme la description de base du produit figurant dans la lettre l application de paiement ne doit pas
12. n inclut ou n implique en aucun cas de garanties de produits manant du PCI SSC y compris mais sans s y limiter toute garantie implicite de qualit loyale et marchande et d ad quation une activit sp cifique ou de non violation ces garanties tant toutes express ment d clin es par le PCI SSC L ensemble des droits et des recours concernant les produits et les services ayant obtenu une acceptation doivent maner de la partie fournissant les produits et services en question et non par le PCI SSC ou les marques de cartes de paiement Sauf stipulation contraire indiqu e par crit par le PCI SSC l ensemble des biens et services sp cifi s dans ce document que le PCI SSC a transmis aux parties tierces concern es sont fournis en l tat et avec tous les d fauts sans garantie de quelque nature que ce soit Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 30 Security E Standards Council Annexe A l ments de la lettre d acceptation et de la liste des applications de paiement conformes la norme PA DSS Fournisseur de l application de paiement Ce champ d signe le fournisseur de l application de paiement valider Identifiant de l application de paiement L identifiant de l application de paiement indique au PCI SSC les informations relatives une application de paiement valid e Il comprend les l ments suivants nom de l
13. pour les nouveaux d ploiements nouveaux d ploiements Conforme la norme Acceptable pour les Conforme la norme Inacceptable pour les PA DSS nouveaux d ploiements PA DSS nouveaux d ploiements Auto attestation pour les modifications mineures de versions le cas ch ant L auto attestation pour les modifications mineures de versions permet de sp cifier le cas ch ant les versions d applications auxquelles s applique la proc dure pour les modifications mineures apport es aux applications document e dans la section Aucun impact sur les exigences PA DSS de ce document Date de revalidation annuelle La date de revalidation annuelle permet au PCI SSC de savoir quand l attestation de conformit annuelle du fournisseur de logiciels arrive ch ance Une section sur la revalidation annuelle figure dans le formulaire d attestation de conformit qui se trouve dans la partie 3b de l annexe C de la norme PA DSS Date d expiration La date d expiration des applications de paiement conformes la norme PA DSS correspond la date laquelle un fournisseur doit faire r valuer son application conform ment aux exigences de la norme PA DSS en vigueur afin de conserver son acceptation La date d expiration se rapporte aux notes de d ploiement susmentionn es Le PCI SSC s efforcera de mettre jour la norme PA DSS Remarque sur une base de 24 mois conjointement aux mises jour des normes PCI DSS L acceptation des ap
14. taux d chantillonnage plus faibles Tant que le PA QSA maintient le niveau de qualit il est soumis un chantillonnage limit Dans le cas contraire les mesures suivantes sont appliqu es Lettre d avertissement envoy e au PA QSA en guise de premier rappel l incitant am liorer la qualit de ses rapports Rattrapage Si le niveau de qualit n est pas maintenu le PA QSA passe en phase de rattrapage et peut se voir infliger des sanctions R vocation Si le niveau de qualit n est pas maintenu le PA QSA est r voqu et retir de la liste des PA QSA agr s du PCI SSC Programme d chantillonnage pour les PA QSA exp riment s Une fois le PA QSA soumis au programme d chantillonnage pour les PA QSA exp riment s un chantillonnage limit est appliqu ses rapports Si le niveau de qualit est maintenu l chantillonnage limit se poursuit Cette proc dure a pour but de maintenir les PA QSA dans un tat stable Si des probl mes de qualit sont d tect s et si le niveau de qualit n est pas maintenu le PA QSA repasse au programme d chantillonnage pour les nouveaux QSA Rattrapage En phase de rattrapage les PA QSA peuvent toujours r aliser des v rifications mais tous les rapports sont v rifi s par le PCI SSC dans une optique d assurance qualit Le PCI SSC facturera 500 pour chaque rapport soumis et resoumis en phase de rattrapage Le PA QSA doit galement soumet
15. A DSS mise par le PCI SSC Num ro d approbation Le PCI SSC attribue un num ro d approbation au moment de l acceptation Ce num ro reste le m me tant que l application figure sur la liste Notes de conformit Les notes de conformit permettent au PCI SSC de d terminer si la v rification a t r alis e en fonction du programme PABP de Visa ou du programme PA DSS du PCI SSC Elles permettent galement de conna tre la version applicable du programme PABP ou de la norme PA DSS Reportez vous aux exemples du tableau dans la section Notes de d ploiement ci dessous Guide du programme PCI PA DSS v 1 2 l ments de la lettre d acceptation Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 31 Security E Standards Council Notes de d ploiement Les notes de d ploiement permettent au PCI SSC de d terminer si une application de paiement est acceptable ou non pour les nouveaux d ploiements et si elle correspond la date d expiration appropri e indiqu e ci dessous Pour plus d informations reportez vous au tableau page 25 Liste du PCI SSC avant expiration Liste du PCI SSC apr s expiration Notes de conformit Notes de d ploiement Notes de conformit Notes de d ploiement Conforme au Acceptable pour les Conforme au Inacceptable pour les programme PABP nouveaux d ploiements programme PABP nouveaux d ploiements Application pr PCI D conseill pour les Application pr PCI Inacceptable
16. Le fournisseur s lectionne un PA QSA dans la liste du PCI SSC puis n gocie les frais et l accord de confidentialit avec le PA QSA Le fournisseur transmet ensuite au PA QSA le logiciel d application de paiement les manuels et toute autre documentation n cessaire Le PCI SSC va ensuite mettre une lettre d acceptation ci apr s d nomm e lettre d acceptation PA DSS confirmant pour chaque application de paiement la bonne r alisation du processus de v rification PA DSS Une fois l application de paiement accept e elle est list e sur le site Web Les illustrations et descriptions des pages suivantes pr sentent en d tail les composants suivants du programme PA DSS Processus Illustration Page n Processus d acceptation des rapports PA DSS Figure 1 12 Changements PA DSS apport s des applications list es Figure 2 13 Capitalisation et migration d applications PABP vers la liste PA DSS Figure 3 14 Revalidation annuelle PA DSS et renouvellement d applications arriv es Figure 4 15 expiration Programmes d assurance qualit des PA QSA pour les v rifications de Figure 5 16 rapports Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 12 Security Standards Council Figure 1 Processus d acceptation des rapports PA DSS Le fournisseur souhaite r aliser une v rification PA DSS Documents de v rification provenant de www pcisecurity standards o
17. Name d clare le statut suivant pour la ou les applications et versions identifi es dans la partie 1a de ce document au date cocher les cases correspondantes CI Des modifications mineures uniquement ont t apport es l application parente indiqu e ci dessus dans le but de cr er la nouvelle application galement susmentionn e n impliquant aucun impact sur les exigences PA DSS Toutes les modifications ont t inscrites avec exactitude dans le document d analyse de changement de la partie 2 transmis au PA QSA Toutes les informations figurant dans cette auto attestation illustrent en toute honn tet les r sultats de l analyse de changement tous points de vue Il n existe aucune preuve de stockage de donn es de bande magn tique c est dire de pistes de donn es CAV2 CVC2 CID ou CVV2 ou de donn es PIN suite l autorisation d une transaction sur TOUT fichier ou fonctionnalit g n r e par l application Partie 3b Attestation du PA QSA En se basant sur la documentation d analyse de changement d livr e par le fournisseur de l application de paiement indiqu dans la partie 1 PA QSA Name d clare le statut suivant pour la ou les applications et versions identifi es dans la partie 1a de ce document au date cocher les cases correspondantes CI Ense basant sur notre v rification de la documentation de l analyse de changement nous attestons que la documentation prend en charge l
18. application de paiement e nom et le num ro de version de l application de paiement associ e figurant actuellement sur la liste du PCI SSC la description de la modification apport e les raisons de la modification l impact ventuel sur les donn es de titulaire de carte et les fonctions de paiement ainsi que la nature de l impact la description du fonctionnement du processus de modification la description du test r alis par le fournisseur pour valider l absence d impact sur les exigences de s curit PA DSS les l ments qui expliquent comment et pourquoi les exigences PA DSS ne sont pas affect es La description de l int gration de cette modification dans la m thodologie de gestion des versions appliqu e par le fournisseur incluant la fa on dont ce num ro de version indique que la modification est mineure le cas ch ant la description des pratiques modules de programmation et la d monstration que ces pratiques n ont pas d incidences n gatives sur les exigences Si le PA QSA convient que la modification telle que document e dans l analyse de changement du fournisseur n a pas d impact n gatif sur la s curit de l application de paiement i il le sp cifie au fournisseur de logiciels ii celui ci pr pare et signe une auto attestation de modification et l envoie au PA QSA iii le PA QSA la signe galement et la transmet accompagn e de l analyse de changement
19. application de paiement num ro de version de l application de paiement Afin de garantir l utilisation d une application de paiement valid e il est fortement recommand aux clients acqu reurs ou leurs agents d sign s d acheter et de d ployer uniquement les applications de paiement dont les informations associ es correspondent exactement celles de l identifiant de l application de paiement Exemple d identifiant d application de paiement deux composants Composant Description Nom de l application Acme Payment 600 Num ro de version de PCI 4 53 l application Num ro de version de l application Le num ro de version de l application correspond au num ro de l application sp cifique v rifi e lors de l valuation PA DSS Il peut tre constitu d un ensemble de caract res alphanum riques fixes ou variables Remarque Pour plus d informations sur le contenu inclure dans le Rapport sur la conformit PA DSS concernant les m thodologies de gestion des versions appliqu es par le fournisseur reportez vous la section Instructions et contenu du Rapport sur la conformit Il est fortement recommand aux clients d acheter et de d ployer uniquement des applications portant le num ro de version d application comprenant exactement les m mes caract res albhanum riques que celui de l application figurant sur la liste des applications de paiement conformes la norme PA DSS ou sur la lettre d acceptation P
20. au PCI SSC qui iv v rifie le formulaire et la documentation dans une optique d assurance qualit Si le PCI SSC estime que la modification n affecte pas les exigences PA DSS une lettre d acception PA DSS r vis e est envoy e au fournisseur la liste des applications de paiement conformes la norme PA DSS du site Web est mise jour la date d expiration et le num ro de version de l application r pertori e seront les m mes que ceux de l application de paiement parente Si le PCI SSC constate des probl mes de qualit relatifs l auto attestation de modification il les communique au PA QSA Les probl mes sont ensuite trait s conform ment la proc dure d crite pr c demment Impact potentiel sur les exigences PA DSS Nouvelle v rification PA DSS requise Si les modifications apport es l application de paiement ont un impact sur les exigences PA DSS l application de paiement doit de nouveau tre soumise une valuation PA DSS Le PA QSA soumet alors un nouveau rapport PA DSS au PCI SSC pour acceptation Dans ce cas le fournisseur peut d abord soumettre la documentation de modification au PA QSA qui d termine ensuite si cette derni re affecte la s curit de l application de paiement conform ment aux exigences PA DSS en vigueur Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 20 Security E Standards Council Aucune mod
21. ces PA DSS connexes pouvant tre propos s par les PA QSA 10 Support technique lors des tests sur 11 Accord de diffusion et transmission du rapport 11 ni ER inene a a aa a an Aa an aAA aaa a aa aaa Raa aaea aeai iaaeaie aaaea 11 Pr sentation des processus PA DSS iiniininnnnnnennnnnennnnennnnnnnnnnennentes 12 Figure 1 Processus d acceptation des rapports PA DSS 13 Figure 2 Changements PA DSS apport s des applications list es seeseeseeeeeeeeeee eeren een 14 Figure 3 Capitalisation et migration d applications PABP vers la liste PA DSS 15 Figure 4 Revalidation annuelle PA DSS et renouvellement d applications arriv es expiration 16 Figure 5 Programmes d assurance qualit des PA QSA pour les v rifications de rapports 17 Pr sentation du processus d acceptation des rapports PA DSS ni sssinnnnnns 18 Modifications apport es aux applications de paiement r pertori es s ssssesusnsnnnnnnennnnunnnnnnnnnennnnne 19 Renouvellement des applications eXpir es eee 22 Migration et capitalisation d applications de paiement conformes au programme PABP 23 Programme d assurance qualit ts un eine sente drone 25 Processus d acceptation des rapports PA DSS ni nirnrnnnnnnnnennnnennnnennnnennnnenns 27 Notification faisant suite une faille ou un incident de s curit 28 Clauses et conditions l gales
22. commentaires au PA QSA qui doivent chaque fois tre pris en compte Tout calendrier de v rification fourni par un PA QSA doit tre consid r comme une estimation car il peut tre bas sur de simples hypoth ses selon lesquelles l application de paiement saura satisfaire rapidement toutes les exigences de la norme PA DSS En cas de probl mes lors des processus de v rification ou d acceptation des entretiens entre le PA QSA le fournisseur de logiciels et ou le PCI SSC seront n cessaires Ces entretiens peuvent influer sur la dur e de la v rification et entra ner des retards et ou ils peuvent m me entra ner l arr t pr matur de la v rification par exemple si le fournisseur d cide de ne pas apporter les changements n cessaires l application de paiement pour assurer sa conformit valuateurs de s curit qualifi s des applications de paiement Le PCI SSC assure la qualification et la formation des valuateurs de s curit qualifi s des applications de paiement PA QSA pour qu ils r alisent les valuations PA DSS La liste des PA QSA est disponible sur le site Web Ces PA QSA sont les seuls valuateurs reconnus par le PCI SSC pour r aliser des valuations PA DSS Les tarifs et frais factur s par les PA QSA ne sont pas fix s par le PCI SSC ils sont librement n goci s entre le PA QSA et son client Avant de choisir un PA QSA il est recommand aux entit s de s entretenir avec plusieurs soci t s PA
23. d tre de nouveau soumis au programme d chantillonnage pour les nouveaux PA QSA les PA QSA doivent r gler des frais de r inscription sur la liste s levant 1 250 Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 26 Security Standards Council Processus d acceptation des rapports PA DSS Le PCI SSC base l acceptation des rapports uniquement sur les r sultats document s figurant dans le Rapport sur la conformit A la r ception du rapport les sc narios suivants peuvent se d rouler Le PCI SSC v rifie le rapport g n ralement dans les trente jours civils suivant la r ception et d termine s il est acceptable ou non Si aucun probl me ou aucune question communiquer au PA QSA n est soulev e le PCI SSC adresse au fournisseur de logiciels la facture relative aux frais d inscription Une fois le r glement des frais d inscription re u le PCI SSC met une lettre d acceptation PA DSS et publie l application de paiement et les informations concernant le fournisseur sur le site Web Si des questions ou des probl mes sont soulev s et communiqu s au PA QSA la proc dure d crite ci dessus reprend compter de la r ception d un rapport ou d une r ponse complet acceptable et r vis Rapport r vis fourni par le PA QSA La proc dure ne red marre qu la r ception d un rapport r vis acceptable traitant tous les l ments pr c
24. de renouvellement des applications expir es est d taill dans la Figure 4 Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 22 Security Standards Council Migration et capitalisation d applications de paiement conformes au programme PABP Capitalisation d applications PABP sur la liste PABP d ici le 15 octobre 2008 Le PCI SSC capitalise transf re les applications conformes au programme PABP existantes sur la liste du PCI SSC Cette approche de capitalisation permet aux applications pr c demment valu es et jug es conformes au programme PABP de continuer tre d ploy es jusqu ce que de nouvelles applications de paiement conformes la norme PA DSS soient disponibles Remarque La liste du PCI SSC fait la distinction entre les nouveaux d ploiements et les d ploiements existants De mani re g n rale la dur e de vie des applications de paiement une fois d ploy es est longue allant parfois jusqu 10 ou 15 ans Le PCI SSC a conscience que la proc dure de d ploiement des applications de paiement peut tre complexe et co teuse et que la mise jour annuelle des applications de paiement par les commer ants et les acqu reurs n est gu re pratique Une approche volutive a t appliqu e aux dates d expiration des applications PABP en fonction de la version des exigences utilis es pour les valuer Afin de rester
25. e l tude M me si les builds d applications de paiement certifi es ne constituent pas aujourd hui une exigence nous encourageons les fournisseurs de logiciels et les PA QSA travailler de concert pour d velopper des m thodes permettant de certifier et d approuver les builds d applications de paiement de fa on num rique Le PCI SSC se r serve le droit d exiger l avenir les builds d applications de paiement certifi es Une telle m thode pourrait par exemple inclure les l ments suivants Les fournisseurs identifient clairement une build certifi e des fins de publication Dans l id al une build certifi e conforme par un PA QSA doit contenir l empreinte num rique cod e du fournisseur de logiciels et celle du QSA appos e au moment de l exp dition Au minimum la livraison doit tre clairement identifi e par le nom la version le num ro de build et l horodatage et doit pouvoir tre v rifi e par un pr traitement MD5 et par l en t te de build correspondante De cette fa on l exigence 7 2 de la norme PA DSS concernant la garantie d exp dition via la cha ne de confiance connue est renforc e Cette m thode permettrait galement de prendre en charge les programmes PA DSS relatifs aux marques de cartes de paiement et d encourager la sensibilisation et la confiance des clients Guide du programme PCI PA DSS v 1 2 Identification des builds d applications de paiement certifi es Octobre 2008 Cop
26. e paiement g n ralement vendues pr tes l emploi sans modification apport e par les fournisseurs de logiciels La norme PA DSS concerne les applications de paiement fournies dans des modules habituellement compos s d un module de base et d autres modules sp cifiques aux types de clients ou fonctions ou personnalis s la demande du client Il se peut que la norme PA DSS s applique uniquement au module de base si ce module est le seul ex cutant les fonctions de paiement apr s confirmation par un PA QSA Si d autres modules r alisent des fonctions de paiement la norme PA DSS s applique galement ces modules Notez que pour les fournisseurs de logiciels l isolement des fonctions de paiement en un seul ou quelques modules de base en r servant les autres modules pour les fonctions autres que le paiement constitue une meilleure pratique Cette meilleure pratique bien qu elle ne constitue pas une exigence peut limiter le nombre de modules soumis la norme PA DSS La norme PA DSS NE s applique PAS une application de paiement d velopp e pour un seul client et vendue celui ci puisque cette application sera couverte dans le cadre de la v rification de conformit PCI DSS standard du client Remarque Une telle application que l on peut qualifier d application sur mesure est vendue un seul client en g n ral un commer ant ou un prestataire de services important et elle est con ue et d velopp e sel
27. eee asiaasi dinadaan ee 30 Annexe A l ments de la lettre d acceptation et de la liste des applications de paiement conformes la norme PA DSS s sssasssensnnnnnnnnnnnnnnnnnnnnnnnnnnnn nunen nenun nnnnnn unnan nennen nnmnnn nnnm mannna 31 Annexe B Identification des builds d applications de paiement certifi es 34 Annexe C Auto attestation pour les modifications mineures de versions 35 Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 2 Security a Standards Council Introduction Publications associ es Les documents suivants constituent la base des valuations des applications de paiement Norme de s curit des donn es des applications de paiement Remarque PA DSS de l industrie des cartes de paiement PCI f Exigences et proc dures d valuation de s curit Les exigences ai p roc dures FE GN d valuation de s curit de la Norme de s curit des donn es des applications de paiement horme PA DSS listent les PA DSS de l industrie des cartes de paiement PCI exigences techniques Proc dures de migration sp cifiques et fournissent les proc dures et le mod le d valuation utilis s pour valider la conformit de l application de Les documents compl mentaires ci apr s sont utilis s conjointement ceux pr c demment cit s Norme de s curit des donn es de l industrie des cartes de paiement et documenter la paie
28. er les r sultats du rapport PABP mais doit galement joindre une r valuation lors de l envoi au PCI SSC conform ment aux proc dures de migration PA DSS Le fournisseur peut galement choisir de faire valuer son application de paiement conform ment la norme PA DSS tout moment apr s la sortie de la nouvelle norme Proc dures de migration PA DSS Les proc dures de migration PA DSS doivent tre utilis es par les valuateurs de s curit qualifi s des applications de paiement PA QSA le cas ch ant pour assurer la migranan d une application depuis la liste Visa des applications de paiement conformes au programme PABP vers la liste du PCI SSC des applications de paiement conformes la norme PA DSS Remarque Le PCI SSC assure la capitalisation ou le transfert des applications de paiement conformes au programme PABP versions 1 3 et 1 4 vers la liste des applications de paiement conformes la norme PA DSS pour une dur e respective de 18 et 24 mois Pass ce d lai une v rification PA DSS est exig e Ces proc dures de migration sont applicables dans les sc narios suivants Application obligatoire des proc dures de migration Si une Remarque application de paiement est soumise une v rification PABP qui La m me soci t PA QSA n est pas termin e ni valid e par Visa avant le 15 10 08 alors que celle contact e pour l application de ces proc dures de migration est obligatoire pour que r alise
29. era d finie sur une base trimestrielle en fonction du trimestre pendant lequel est intervenue son inscription d origine Par exemple au 1 avril les fournisseurs de logiciels se verront facturer 1 250 par application de paiement list e la fin du trimestre pr c dent le 31 mars Les fournisseurs ne se verront pas facturer les applications qui sont conformes mais pour lesquelles ils ont choisi de ne pas voir leur produit list sur le site Web Remarque les fournisseurs ne seront pas autoris s effectuer des manipulations afin de contourner les frais d inscription En clair les fournisseurs ne peuvent pas retirer une application de la liste pour ensuite demander sa r inscription une fois la date de facturation pass e Remarque Le fournisseur paie tous les frais d valuation PA DSS directement au PA QSA ces frais sont n goci s entre le fournisseur et le PA QSA Le PCI SSC effectuera une facturation trimestrielle au fournisseur de tous les frais d inscription que le fournisseur devra payer directement au PCI SSC Guide du programme PCI PA DSS v 1 2 Copyright 2008 PCI Security Standards Council LLC Octobre 2008 Page 11 Security a Standards Council Pr sentation des processus PA DSS Le processus de v rification PA DSS est initi par le fournisseur Le site Web rassemble tous les documents associ s qui seront n cessaires au fournisseur pour appliquer le processus de v rification PA DSS
30. es exigences des normes PCI DSS chaque fois que le fournisseur stocke traite ou transmet des donn es de titulaire de carte par exemple lors du d pannage du client cr er un Guide de mise en uvre de la norme PA DSS sp cifique chaque application conform ment aux exigences de la Norme de s curit des donn es des applications de paiement PA DSS former les clients les revendeurs et les int grateurs pour l installation et la configuration des applications de paiement conform ment aux normes PCI DSS s assurer que les applications de paiement r pondent aux exigences de la norme PA DSS en proc dant une v rification de conformit PA DSS conform ment aux sp cifications des Exigences et proc dures d valuation de conformit PCI PA DSS Les fournisseurs transmettent leurs applications de paiement et la documentation connexe au PA QSA pour v rification Tous les accords et les co ts associ s l valuation sont n goci s entre le fournisseur et le PA QSA Les fournisseurs autorisent leur PA QSA transmettre au PCI SSC les rapports de conformit PA DSS g n r s PA QSA Les PA QSA sont des QSA Qualified Security Assessors valuateurs de s curit qualifi s qualifi s et form s par le PCI SSC pour effectuer des v rifications PA DSS Remarque Tous les QSA ne sont pas des PA QSA un QSA doit r pondre des exigences de qualification suppl mentaires pour acc der au statut de PA QSA Responsabi
31. hangement PA DSS changement fournisseur Fournisseur sen le Guide du a des r percussions en OUI souhaite que la nouvelle NON de logiciels programme PA DSS rss mie soit Le fournisseur pr pare et signe le formulaire d auto attestation Envoyer l analyse de changement au PA QSA Le PA QSA v rifie Le fournisseur et le l analyse de changement PA QSA r solvent les PA DSS probl mes Le PA QSA signe le formulaire d auto attestation Soci t PA QSA Le PA QSA envoie l analyse de changement et l auto attestation au PCI SSC iste t il des r percussions concernan les exigences PA DSS NON Analyse de PCI SSC changement mo a as A Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 14 Security Standards Council Figure 3 Capitalisation et migration d applications PABP vers la liste PA DSS Applications capitaliser depuis la liste PABP Application pr c demment pr c demment v rifi e v rifi e par rapport aux par rapport au PABP versions du PABP ant rieures version 14 version 1 3 la version 1 3 Application Application pr c demment v rifi e par rapport au PABP Le fournisseur de logiciels Migration vers la doit faire en sorte qu une liste PA DSS v rification PA DSS soit Migration vers la liste PA DSS r alis e dans les 12 mois indiqu sur la liste PA DSS comme Application
32. iciels D BUT 6 mois avant la date d expiration L application reste dans la liste mais est indiqu e comme inacceptable pour les nouveaux d ploiements Guide du programme PCI PA DSS v 1 2 Copyright 2008 PCI Security Standards Council LLC Octobre 2008 Page 16 Security s Standards Council Figure 5 Programmes d assurance qualit des PA QSA pour les v rifications de rapports Le PCI SSC v rifie fpi Passer le QSA au B1 Le PCI SSC v rifie 100 des 4 premiers Les 4 premiers 50 des 6 ra premi A jl pports 7 QUI programme Passer au point rapports provenant Cpor ben M sounn par gt CPP ont t obteni D oeProntilonnage gt As de agure 1 nouvelles la soci t QSA exp riment soci t s PA QSA qualit Nouvelles soci t s PA QSA Envoyer un navorussome avertissement crit crit a t il t tt passer PA QSA la soci t QSA cet rattrapage publie Le PCI SSC v rifie 10 LEZ Le rapport a t il Si l application r f renc e pass l AQ Soci t s PA QSA exp riment es La soci t PA QSA est en p riode de Pen A iesi td ir is tou La soci t QSA Faire passer la soci t envoie un plan de rattrapage le k s Jan passe De pr s rattrapage AQ PCI SSC v rifie 100 h are ee PA QSA au rattrapage 4 rapports au PCI SSC des 4 rapports Le PCI SSC facture chaque transmissi
33. ification apport e l application de paiement r pertori e Revalidation annuelle requise Chaque ann e la date de revalidation indiqu e sur la liste le fournisseur de logiciels doit soumettre un formulaire d attestation de conformit en remplissant la partie 3b Le formulaire d attestation de conformit est disponible dans l annexe C de la norme PA DSS Le sch ma du processus de revalidation annuelle est d taill dans la Figure 4 Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 21 Security a Standards Council Renouvellement des applications expir es Lorsqu une application arrive expiration le PCI SSC en avertit le fournisseur de logiciels Le fournisseur dispose alors de deux options 1 Le fournisseur souhaite continuer vendre l application Dans ce cas il contacte un PA QSA et soumet son application de paiement une r valuation 2 Le fournisseur ne vend plus l application Dans ce cas le PCI SSC d finit l application de paiement r pertori e au statut Inacceptable pour les nouveaux d ploiements apr s la date d expiration Notez que si le fournisseur choisit de continuer vendre l application celle ci conserve son statut Acceptable pour les nouveaux d ploiements sur la liste du PCI SSC une fois revalid e par le processus d valuation PA DSS et une nouvelle date d expiration est d finie Le sch ma du processus
34. ions de paiement s curis es lorsqu elles sont mises en uvre dans un environnement conforme PCI DSS r duisent autant que possible le risque de voir les failles de s curit compromettre les donn es de bande magn tique les codes et valeurs de validation de carte CAV2 CID CVC2 CVV2 les codes et les blocs PIN ainsi que la fraude r sultant de ces failles Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 4 Security a Standards Council R les et responsabilit s Il existe plusieurs parties prenantes au sein de la communaut des applications de paiement Certaines de ces parties prenantes participent plus directement que d autres au processus d valuation PA DSS fournisseurs QSA et PCI SCC D autres non directement impliqu es dans le processus d valuation doivent avoir connaissance du processus global afin de faciliter les d cisions professionnelles s y rapportant Les sections suivantes d finissent les r les et responsabilit s des parties prenantes dans la communaut des applications de paiement Les responsabilit s associ es au processus d valuation sont mentionn es pour les parties prenantes impliqu es Marques de cartes de paiement American Express Discover Financial Services JCB International MasterCard Worldwide et Visa Inc sont les marques de cartes de paiement qui ont fond le PCI SSC Elles sont responsables du d veloppement et
35. l application Nom du cadre sup rieur du fournisseur de l application Poste occup Nom de l entreprise fournissant l application de paiement repr sent e Guide du programme PCI PA DSS v 1 2 Auto attestation pour les modifications mineures de versions Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 38
36. lit s des PA QSA r aliser des valuations des applications de paiement conform ment aux proc dures d valuation de s curit et aux exigences de conformit des PA QSA formuler un avis sur la conformit de l application de paiement aux exigences de la norme PA DSS fournir dans le Rapport sur la conformit la documentation ad quate permettant de prouver la conformit de l application de paiement la norme PA DSS transmettre le Rapport sur la conformit au PCI SSC accompagn de l attestation de conformit sign e par le PA QSA et par le fournisseur g rer un processus interne d assurance qualit appliqu leurs t ches de PA QSA Il appartient aux PA QSA de sp cifier si oui ou non l application de paiement est conforme Le PCI SSC ne valide pas les Rapports sur la conformit au niveau de la conformit technique mais r alise sur ceux ci des analyses d assurance qualit afin de garantir que la preuve de la conformit est correctement document e dans les rapports Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 6 Security Standards Council Revendeurs et int grateurs Les revendeurs et les int grateurs sont les entit s qui vendent installent et ou interviennent sur les applications de paiement au nom des fournisseurs de logiciels ou autres Les revendeurs et int grateurs assurant des services associ s des applications de
37. ment PCI Exigences et proc dures d valuation de v rification Les deux s curit documents sur les exigences de Norme de s curit des donn es de l industrie des cartes de conformit des QSA d finissent paiement PCI Glossaire des termes abr viations et acronymes les exigences auxquelles un PA QSA doit satisfaire pour pouvoir Normes de s curit des donn es de l industrie des cartes de ee one paiement PCI Exigences de conformit pour les valuateurs de s curit qualifi s QSA Tous les documents sont disponibles au format Normes de s curit des donn es de l industrie des cartes de a nique sur le site paiement PCI Exigences de conformit pour les valuateurs Www pcisecuritystandards org de s curit qualifi s Addendum pour les valuateurs de s curit qualifi s des applications de paiement PA QSA Mises jour des documents et des exigences de s curit La s curit est une course sans fin contre les attaquants potentiels Il est par cons quent n cessaire de r guli rement v rifier mettre jour et am liorer les exigences de s curit utilis es pour l valuation des applications de paiement Le PCI SSC fera en sorte de mettre jour tous les 24 mois les exigences de s curit concernant les applications de paiement Le PCI SSC se r serve le droit de changer de modifier ou de retirer des exigences de s curit tout moment En pareille situation le PCI SSC fera e
38. ment r pertori e Si le fournisseur met jour des applications pr c demment r pertori es et s il souhaite que la notification de mise jour de l application de paiement figure sur la liste il doit soumettre les d tails des modifications au PA QSA de pr f rence celui qui a effectu la premi re v rification Par la suite le PA QSA d termine si une r valuation de l application de paiement est n cessaire Cette d cision peut d pendre de l impact ventuel des modifications sur la s curit de l application Elle peut galement tre encourag e par la port e ou l importance des modifications apport es Il est en effet possible que la modification n affecte qu une fonctionnalit auxiliaire et ne se r percute pas sur l application de paiement principale Si une application de paiement r pertori e a subi des modifications Remarque susceptibles d affecter les exigences PA DSS et ou si le fournisseur souhaite que ces informations figurent dans la lettre d acceptation PA DSS et sur le site Web r vis il doit fournir au PA QSA une documentation appropri e sp cifiant les modifications afin que celui ci d termine si une valuation compl te est n cessaire Si le PA QSA convient avec le fournisseur de logiciels que les modifications document es n ont pas d impact sur les exigences PA DSS ce dernier pr pare et signe un formulaire d auto attestation de modification que le PA QSA signe galement et transmet ensui
39. n sorte de travailler en troite collaboration avec sa communaut d organisations participantes et de fournisseurs de logiciels afin de r duire l impact de telles modifications Terminologie Expressions sp cifiques utilis es dans ce document _ PCI SSC d signe le PCI Security Standards Council LLC le Conseil des normes de s curit de la PCI PABP Payment Application Best Practices meilleures pratiques des applications de paiement d signe l ancien programme de Visa sur lequel est bas e la norme PA DSS Payment Application Data Security Standard norme de s curit des donn es des applications de paiement Marques de cartes de paiement d signe les marques de cartes de paiement qui sont membres du PCI SSC soit l heure actuelle American Express Discover JCB MasterCard et Visa Applications de paiement d signe de mani re g n rale toutes les applications de paiement qui stockent traitent ou transmettent des donn es de titulaire de carte dans le cadre d une autorisation ou d un r glement lorsque ces applications de paiement sont vendues distribu es ou c d es sous licence des parties tierces Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 3 Security a Standards Council propos de la PCI Le PCI SSC refl te une volont manant des acteurs de l industrie des cartes de paiement PCI Payment Card Ind
40. ne application de paiement selon la norme PA DSS dans un environnement conforme aux normes PCI DSS configurer l application de paiement lorsque des options de configuration sont fournies selon le Guide de mise en uvre de la norme PA DSS remis par le fournisseur configurer l application de paiement conform ment aux normes PCI DSS maintenir le statut de conformit aux normes PCI DSS pour la configuration de l environnement et de l application de paiement Lorsque la liste sera publi e par le PCI SSC au deuxi me semestre 2008 les clients pourront consulter sur le site Web la liste des applications de paiement conformes ainsi que d autres supports de r f rence Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 7 Security a Standards Council Consid rations propres aux fournisseurs Pr paration la v rification quelles applications la norme PA DSS s applique t elle Dans le cadre de la norme PA DSS une application de paiement se d finit comme l l ment qui stocke traite ou transmet des donn es de titulaire de carte dans le cadre d une autorisation ou d un r glement lorsque cette application est vendue distribu e ou c d e sous licence des parties tierces Le guide suivant peut tre utilis pour d terminer si la norme PA DSS s applique une application de paiement donn e La norme PA DSS s applique aux applications d
41. nt de s curit Si le PCI SSC d tecte une faille au niveau de la s curit ou un incident relatif un produit sp cifique ou un groupe de produits comme ceux r pertori s dans la liste des applications de paiement conformes la norme PA DSS il peut appliquer les mesures suivantes Informer toutes les marques de cartes de paiement qu une faille ou un incident de s curit s est produit Tenter d obtenir le rapport officiel pour valuer avec pr cision la fa on dont l incident s est produit Contacter le fournisseur pour lui signaler qu une faille de s curit a t d tect e sur son produit ou que celui ci a t compromis et si possible partager les informations relatives la faille ou l incident en question Poursuivre les efforts entrepris par le fournisseur pour tenter d att nuer les risques ou d emp cher tout nouvel incident du m me type Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 28 Security a Standards Council Poursuivre les efforts entrepris par le fournisseur pour 1 corriger les failles de s curit et 2 r diger un document regroupant les directives transmettre aux clients de ce fournisseur document les informant sur les vuln rabilit s potentielles et d taillant les actions entreprendre pour att nuer les risques ou emp cher tout nouvel incident du m me type Travailler avec des organismes d application des
42. on et nouvelle transmission de rapport 500 pendant la p riode de rattrapage Lors de la p riode de rattrapage le PCI SSC se r serve le droit de proc der une d chanti FAC e de v rification sur site aux frais de la soci t QSA nouvelle soci t QSA Sa Le PCI SSC tudie l appel Le PCI SSC facture La soci t et peut statuer de nouveau Le PCI SSC peut 1 250 pour r f rencer PA QSA fait elle appel si la soci t PA QSA demander un de nouveau une R vocation de la d cision r pond aux exigences du examen blanc soci t PA QSA suite une r vocation programme de l AQ Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 17 Security Standards Council Pr sentation du processus d acceptation des rapports PA DSS Le PA QSA v rifie l application de paiement conform ment aux Proc dures Notez que tous les d valuation de s curit PA DSS et r dige un rapport avec le fournisseur Si rapports PA DSS et tous les points abord s dans le rapport sont en place le fournisseur signe autres supports l Accord de diffusion que le PA QSA envoie ensuite au PCI SSC Si certains soumis au PCI SSC points abord s dans le rapport ne sont pas en place le fournisseur doit doivent tre r dig s en mettre en vidence les points en question dans le rapport Il peut s agir par anglais exemple d une mise
43. on les sp cifications du client La norme PA DSS NE s applique PAS aux applications de paiement d velopp es par des commer ants et des prestataires de services si elles sont utilis es en interne uniquement et non vendues distribu es ou c d es sous licence une partie tierce puisque de telles applications de paiement doivent tre couvertes dans le cadre de la conformit normale du prestataire de services aux normes PCI DSS Par exemple concernant les deux derniers points ci dessus le fait que l application de paiement d velopp e en interne ou sur mesure stocke des donn es d authentification sensibles interdites ou autorise des mots de passe complexes doit tre couvert dans le cadre de la conformit normale du commer ant ou du prestataire de services aux normes PCI DSS et ne requiert pas d valuation PA DSS distincte La liste non exhaustive suivante fournit des exemples d applications AUTRES que des applications de paiement dans le cadre de la norme PA DSS et qui par cons quent n ont pas besoin d tre soumises aux v rifications PA DSS les syst mes d exploitation sur lesquels une application de paiement Remarque est install e par exemple Windows Unix Le PCI SSC r pertorie les syst mes de base de donn es stockant des donn es de titulaire de UNIQUEMENT les carte par exemple Oracle applications de paiement les syst mes de back office stockant les donn es de titulaire de carte par exemple pour le
44. paiement conformes la norme PA DSS sont charg s de mettre en uvre uniquement des applications de paiement conformes la norme PA DSS dans un environnement conforme aux normes PCI DSS ou indiquer au commer ant de proc der de la sorte configurer ces applications de paiement lorsque des options de configuration sont fournies selon le Guide de mise en uvre de la norme PA DSS remis par le fournisseur configurer ces applications de paiement ou indiquer au commer ant de proc der de la sorte conform ment aux normes PCI DSS intervenir sur ces applications de paiement par exemple d pannage mises jour distance et support distant conform ment au Guide de mise en uvre de la norme PA DSS et aux normes PCI DSS Les revendeurs et les int grateurs ne soumettent pas les applications de paiement des valuations Seul le fournisseur peut soumettre des produits une valuation Clients Les clients sont les commer ants les fournisseurs de services et Remarque autres qui ach tent ou re oivent une application de paiement pour stocker traiter ou transmettre des donn es de titulaire de carte Une application de paiement dans le cadre de l autorisation ou du r glement des transactions conforme la norme PA DSS de paiement Les clients voulant utiliser des applications seule ne garantit pas la conformit conformes la norme PA DSS sont charg s de avec les normes PCI DSS mettre en uvre d u
45. plications de paiement conformes la norme PA DSS expire trois ans apr s la date effective d une mise jour des exigences PA DSS L objectif est fix un minimum de trois ans d approbation sous r serve de menaces susceptibles de n cessiter des modifications imm diates Toute valuation PA DSS r alis e par rapport la norme PA DSS version 1 1 obtient la m me date d expiration que les v rifications effectu es par rapport la version 1 2 conform ment la proc dure normale d expiration Exemple Les versions 1 1 et 1 2 de la norme PA DSS expireront la m me date Avec la version suivante de la norme PA DSS faisant suite la version 1 2 dont la sortie est pr vue en octobre 2010 les v rifications par rapport aux versions 1 1 et 1 2 expireront en octobre 2013 Actuellement les applications de paiement conformes la norme PA DSS figurant sur la liste agr e au moment de leur d ploiement n ont pas de date d expiration Les applications de paiement d ploy es dont les approbations ont expir peuvent encore tre utilis es Le calendrier d expiration s applique aux nouveaux achats d ploiements et non aux d ploiements existants Guide du programme PCI PA DSS v 1 2 l ments de la lettre d acceptation Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 32 Security E Standards Council Soci t PA QSA Ce champ indique le nom de la soci t d valuateurs de s curit q
46. pr PCI et D conseill pour les nouveaux d ploiements indiqu sur la liste PA DSS comme Conforme au PABP et OK pour les nouveaux d ploiements Indiqu sur la liste PA DSS comme Conforme au PABP et OK pour les nouveaux d ploiements La date d expiration figurant dans la liste est d finie sur 24 mois La date d expiration La date d expiration figurant dans la liste est d finie sur 18 mois figurant dans la liste est d finie sur 12 mois t valu e p rt la norme cato a A A p ra la norme DSS dans les 8 mois 2 K a t elle Rene p rappor la norme DSS dans les oul Indiqu sur la liste PA DSS Indiqu sur la liste comme Conforme la norme PA DSS comme Conforme au PABP et Inacceptable pour les nouveaux d ploiements e fournisseur de logi ss dant l application PABP 14 souhaite un r f renc ement PA D Engager un PA QSA pour effectuer une v rification par rapport aux proc dures de migration PA DSS Passer au epon B delaFigurel Application en cours de v rification lors de la migration Applications en cours de v rification PABP lors de la migration vers la norme PA DSS V rification PABP _ r alis e et accept e par Visa avant le 15 octobre OUI 2008 NON Capitaliser selon la Outre la v rification migration 1 3 ou 14 PABP
47. qu au 15 avril 2009 V rification par rapport au programme PABP Payment Application Best Practices meilleurs pratiques des applications de paiement version 1 3 ou 1 4 3 V rification par rapport la norme PA DSS Payment Application Data Security Standard norme de s curit des donn es des applications de paiement version 1 1 Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 24 Security Standards Council Programme d assurance qualit Le PCI SSC v rifie les rapports des PA QSA dans une optique d assurance qualit Comme stipul dans les Exigences de conformit pour les valuateurs de s curit qualifi s et dans l Accord PA QSA les PA QSA doivent respecter les crit res d assurance qualit d finis par le PCI SSC Les diff rentes tapes du programme d assurance qualit sont d crites ci dessous Le sch ma du processus du programme d assurance qualit est d taill dans la Figure 5 Programme d chantillonnage pour les nouveaux QSA Le PCI SSC applique une proc dure d chantillonnage volutive pour v rifier les Rapports sur la conformit labor s par les PA QSA au d but le PCI SSC v rifie beaucoup de rapports puis le taux d chantillonnage r duit mesure que les rapports des PA QSA gagnent en qualit Si le PA QSA maintient le niveau de qualit il passe au programme d chantillonnage pour les QSA exp riment s avec des
48. qualification et la formation des PA QSA pour r aliser des v rifications PA DSS g re et met jour la norme PA DSS et la documentation connexe selon un processus de gestion du cycle de vie des normes Remarque Le PCI SSC ne valide pas la conformit des rapports Le r le des PA QSA est de documenter la conformit de l application de paiement la norme PA DSS la date de l valuation Le PCI SSC r alise en outre une analyse d assurance qualit afin de garantir une documentation pr cise et compl te par les PA QSA des valuations PA DSS Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 5 Security a Standards Council Fournisseurs de logiciels Les fournisseurs de logiciels ci apr s d nomm s les fournisseurs d veloppent les applications de paiement qui stockent traitent ou transmettent des donn es de titulaire de carte dans le cadre d une autorisation ou d un r glement puis vendent distribuent ou c dent sous licence ces applications de paiement des parties tierces clients ou revendeurs int grateurs Responsabilit s des fournisseurs Cr er des applications de paiement conformes la norme PA DSS qui permettent et n emp chent pas la conformit avec les normes PCI DSS de leurs clients L application ne peut pas imposer un param tre de mise en uvre ou de configuration enfreignant une exigence des normes PCI DSS respecter l
49. r la v rification PABP le PCI SSC reconnaisse ces applications comme conformes la doit tre sollicit e pour norme PA DSS Les v rifications faites uniquement selon le appliquer les proc dures de programme PABP NE seront PLUS accept es apr s le 15 10 08 migration PA DSS Application volontaire des proc dures de migration Conform ment la Remarque ci dessus si un fournisseur d applications de paiement dispose d applications ligibles une capitalisation mais qu il souhaite qu une application conforme au programme PABP version 1 3 ou 1 4 soit r pertori e comme Conforme la norme PA DSS alors ces proc dures de migration doivent tre appliqu es Un PA QSA appliquera les proc dures et transmettra le rapport conform ment au Guide du programme PA DSS afin que le PCI SSC reconnaisse les applications valid es selon le programme PABP versions 1 3 et 1 4 Pour plus d informations sur les proc dures de migration PA DSS reportez vous la section Proc dures de migration PA DSS du programme PABP du site Web 1 Si l application de paiement est valu e par rapport au programme PABP version 1 4 et soumise avant le 15 octobre 2008 et si le rapport pr sente des probl mes de qualit la situation fera l objet d une exception Cette application peut poursuivre sa v rification conform ment au programme PABP version 1 4 jusqu la r solution des probl mes de qualit Les exceptions de ce type seront autoris es jus
50. rantit aucune Num ro d approbation approbation partielle par rapport Notes de conformit la capacit d une application de paiement respecter certaines hores do aapiorsmani PoS exigences et non la totalit d entre Auto attestation pour les modifications mineures de versions alles le cas ch ant Date de revalidation annuelle Date d expiration Soci t PA QSA Type d application de paiement March vis par l application de paiement le cas ch ant R gion ou localit sp cifique pour l application de paiement le cas ch ant Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 27 Security E Standards Council Notification faisant suite une faille ou un incident de s curit Les fournisseurs se doivent d informer le PCI SSC de toute faille ou de tout incident de s curit en rapport avec une application de paiement r pertori e en appliquant les proc dures d crites dans cette section Notification et gestion du temps Nonobstant toute autre obligation l gale s appliquant au fournisseur Remarque celui ci doit imm diatement informer le PCI SSC de toute faille ou de tout incident de s curit en rapport avec l une de ses applications de paiement r pertori es par le PCI SSC La notification doit avoir lieu moins de 24 heures apr s la d couverte par le De la m me fa on le fournisseur doit donner imm diatement un
51. retour sur fournisseur de la faille ou de l impact potentiel possible ou actuel que la faille a entra n peut ou l incident de s curit pourra entra ner Format de notification La premi re notification d une faille ou d un incident de s curit labor e par le fournisseur doit prendre la forme d un appel t l phonique au coordinateur PCI SSC PA DSS suivi d un message lectronique d une t l copie ou d une lettre d taillant la faille ou l incident de s curit D tails de la notification Suite la notification d une faille ou d un incident de s curit le fournisseur doit transmettre au coordinateur PCI SSC PA DSS toutes les informations pertinentes relatives cette faille ou cet incident de s curit Cela peut inclure mais sans s y limiter les l ments suivants e nombre de comptes compromis s il est connu tous les rapports d taillant la faille ou l incident de s curit l ensemble des rapports ou valuations r alis s des fins d investigation sur la faille ou l incident de s curit Le PCI SSC conform ment aux termes de l accord de diffusion a la possibilit de partager ces informations et les autres informations requises pour prendre en charge ou autoriser l ex cution d une valuation de la faille ou de l incident de s curit afin d att nuer les risques ou d emp cher tout nouvel incident du m me type Actions faisant suite une faille ou un incide
52. rg Fournisseur de logiciels Choisir le PA QSA et signer l accord de confidentialit Fournir des logiciels et des manuels ainsi ue toute autre ocumentation requise au PA QSA Liste des PA QSA C Accord de probl matiques afin Questions probl mes OUI diffusion et accord d de satisfaire le r solus confidentialit PA QSA sign s NON Signer l accord de NON diffusion et l accord de confidentialit OUI Jour valuer l application de paiement et cr er un rapport Envoyer le rapport PA DSS au PCI SSC le ra Journaliser et effectuer le suivi de la r ception des rapports PA DSS Giner une lettre 7 acceptation Passer au point AQ de la Figure 5 AQ PA DSS Ajouter l application ou la nouvelle version Facturer les frais la liste PA DSS apr s d inscription au que le fournisseur a fournisseur pay les frais d inscription Lister en fin de mois en se basant sur les rapports finalis s au plus tard le 10 Guide du programme PCI PA DSS v 1 2 Copyright 2008 PCI Security Standards Council LLC Octobre 2008 Security Standards Council Figure 2 Changements PA DSS apport s des applications list es Le fournisseur souhaite changer l application pr c demment approuv e OUI Passer au point B de la Figure 1 B Pr parer une analyse de c
53. s l application de paiement tels que les CD d installation les manuels le Guide de mise en uvre de la norme PA DSS etc et n cessaires pour la v rification doivent tre transmis un PA QSA sp cifi sur le site Web et non au PCI SSC Les informations sp cifiques se rapportant la v rification doivent tre demand es directement au PA QSA Exemples de documents et l ments transmettre au PA QSA 1 L application de paiement avec le manuel de l op rateur ou les instructions 2 Les accessoires mat riels et logiciels n cessaires pour r aliser des simulations de transactions de paiement 3 La documentation d crivant toutes les fonctions utilis es pour la saisie et l mission de donn es et pouvant tre utilis es par des d veloppeurs tiers d applications Plus sp cifiquement les fonctions associ es aux flux de collecte d autorisation de paiement de r glement et de rejet de d bit lorsqu ils concernent l application doivent tre d crites Un manuel constitue un exemple de documentation r pondant cette exigence 4 La documentation associ e l installation et la configuration de l application ou qui fournit des informations sur celle ci Exemples de telles ressources documentaires Guide de mise en uvre de la norme PA DSS Guide d installation logicielle ou les instructions selon ce qui est fourni aux clients M thode de num rotation des versions appliqu e par le fournisseur Documen
54. s besoins de reporting ou du service client Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 8 Security a Standards Council Avant la v rification Consultez les exigences des normes PCI DSS et de la norme PA DSS ainsi que la documentation connexe via le site Web D finissez valuez l aptitude de l application de paiement se conformer la norme PA DSS e r alisez une analyse des carts entre le mode de fonctionnement de l application de paiement soumise la norme PA DSS et les exigences de cette derni re e rem diez tous les carts potentiels e le PA QSA peut s il le souhaite r aliser une pr valuation ou une analyse des carts sur l application de paiement d un fournisseur Si le PA QSA constate des d ficiences emp chant de donner un avis favorable il remettra au fournisseur de logiciels une liste de fonctions de l application de paiement devant tre optimis es avant que ne d bute le processus formel de v rification D finissez si le Guide de mise en uvre de la norme PA DSS satisfait aux exigences de la norme PA DSS Documentation et supports n cessaires L valuation pose comme exigence que le fournisseur de logiciels transmette au PA QSA la documentation et les logiciels ad quats Tous les documents et informations concernant la norme PA DSS peuvent tre t l charg s via le site Web Tous les supports associ
55. s de l valuation Durant la v rification afin d acc l rer le processus un contact chez le fournisseur devra tre de garde afin de d battre des probl mes et de r pondre aux questions du PA QSA Accord de diffusion et transmission du rapport Avant que le PA QSA ne diffuse le rapport PA DSS au PCI SSC le fournisseur doit signer l Accord de diffusion fournisseur PA DSS de l industrie des cartes de paiement ci apr s d nomm l accord de diffusion qui autorise la diffusion du rapport au PCI SSC pour v rification L accord de diffusion doit tre transmis directement au PCI SSC par le PA QSA accompagn des rapports PA DSS Frais Tous les frais associ s l valuation PA DSS faite par le PA QSA sont n goci s entre le PA QSA et le fournisseur de l application de paiement le fournisseur paye tous les frais directement au PA QSA Les fournisseurs devront s acquitter de frais d inscription de 1 250 environ 800 pour chaque application de paiement inscrite sur la liste des applications de paiement du PCI SSC Dans le cadre du processus de revalidation annuelle reportez vous la section Revalidation annuelle dans les pages suivantes de ce document les frais d inscription seront factur s par le PCI SSC tous les ans aux fournisseurs de logiciels pour toutes les applications de paiement appartenant un fournisseur donn et list es par le PCI SSC la date de facturation La date de facturation s
56. sur la liste PCI SSC sous le statut Acceptable pour les nouveaux d ploiements les applications conformes au programme PABP doivent tre valu es selon la norme PA DSS et le calendrier prescrit Si une application conforme au programme PABP n est pas valu e selon la norme PA DSS et le calendrier prescrit l application figurera sur la liste du PCI SSC mais sous le statut Inacceptable pour les nouveaux d ploiements Le tableau suivant indique les dates d expiration respectives et les notes qui seront incluses dans la liste des applications de paiement conformes la norme PA DSS pour les versions du programme PABP ainsi que pour les v rifications PA DSS conform ment la version 1 1 de la norme PA DSS en vigueur Liste du PCI SSC avant expiration Liste du PCI SSC apr s expiration Date Notes de Notes de Notes de Notes de Version d expiration conformit d ploiement conformit d ploiement PABP 1 4 24 mois Conforme au Acceptable pour Conforme au Inacceptable pour programme les nouveaux programme les nouveaux PABP d ploiements PABP d ploiements PABP 1 3 18 mois Conforme au Acceptable pour Conforme au Inacceptable pour programme les nouveaux programme les nouveaux PABP d ploiements PABP d ploiements Avant le 12 mois Application D conseill pour Application Inacceptable pour programme pr PCI les nouveaux pr PCI les nouveaux PABP 1 3 d ploiements d ploiements PA DSS 3 ans apr s Conforme la Acceptable pour
57. t jug es v rifi s et identifi s conformes par les PA QSA directement par le PCI SSC de processus permettant la migration vers la liste du PCI SSC des applications de paiement conformes au programme PABP de processus d assurance qualit pour les PA QSA Il se peut que la conformit conventionnelle aux normes PCI DSS ne s applique pas directement aux fournisseurs d applications de paiement car la plupart des fournisseurs ne stockent ne traitent et ne transmettent pas de donn es de titulaire de carte Cependant tant donn que ces applications de paiement sont utilis es par les clients pour stocker traiter et transmettre des donn es de titulaire de carte et que les clients sont dans l obligation de respecter les normes PCI DSS les applications de paiement doivent aider et non emp cher le client se conformer aux normes PCI DSS Exemples de la fa on dont les applications de paiement peuvent emp cher la conformit aux normes PCI DSS 1 donn es de bande magn tique stock es sur le r seau du client apr s expiration du d lai d autorisation 2 applications n cessitant que les clients d sactivent d autres fonctions requises par les normes PCI DSS telles que les programmes antivirus ou les pare feu afin que l application de paiement fonctionne correctement 3 utilisation par le fournisseur de m thodes non s curis es pour se connecter l application afin d apporter une assistance au client Les applicat
58. tation sur le contr le des changements qui indique la fa on dont les changements sont signifi s aux clients 5 Toute documentation compl mentaire sch mas et organigrammes par exemple contribuant la v rification de l application de paiement le PA QSA peut si n cessaire demander des supports compl mentaires Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 9 Security a Standards Council Calendrier de v rification PA DSS Le temps n cessaire pour une v rification PA DSS depuis son lancement jusqu sa finalisation g n rant une application totalement conforme avec tous ses l ments sp cifi s comme En place peut varier dans des proportions consid rables Facteurs influant sur la dur e n cessaire Degr d ad quation de l application la norme PA DSS au lancement de la v rification e Les corrections apport es l application de paiement en vue de parvenir la conformit vont faire augmenter le temps n cessaire Degr de finalisation du Guide de mise en uvre de la norme PA DSS au lancement de la v rification e Les phases de r criture intensives du Guide vont faire augmenter le temps n cessaire Pr paration et transmission au PCI SSC par le PA QSA d un Rapport sur la conformit PA DSS de haute qualit e Le temps n cessaire va augmenter si le PCI SSC v rifie le rapport plus d une fois en faisant des
59. te au PCI SSC Le PCI SSC int gre alors les mises jour la lettre d acceptation PA DSS r vis e et sur le site Web Pour plus d informations reportez vous la section ci dessous Aucun impact sur les exigences PA DSS Nouvelle v rification PA DSS non requise Si les fournisseurs d applications de paiement pouvaient moduler la fonctionnalit de paiement cela permettrait de diminuer le nombre de r valuations dues aux modifications qui n ont pas d impact sur la fonctionnalit de paiement et sur sa s curit Le sch ma du processus de modification des applications r pertori es est d taill dans la Figure 2 Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 19 Security a Standards Council Aucun impact sur les exigences PA DSS Nouvelle v rification PA DSS non requise Si une application de paiement pr c demment r pertori e est r vis e et si la r vision r v le une modification mineure n affectant pas sa s curit une documentation sur les modifications une analyse de changement peut tre soumise au PA QSA pour v rification Il est fortement recommand au fournisseur de faire appel au PA QSA qui a effectu la premi re valuation L analyse de changement soumise par le fournisseur de logiciels au PA QSA doit au minimum contenir les informations suivantes le nom de l application de paiement le num ro de version de l
60. tre un plan de rattrapage au PCI SSC pr cisant comment il pr voit d am liorer la qualit de ses rapports Le PCI SSC peut galement exiger une visite sur site avec le PA QSA pour auditer son programme d assurance qualit et ce la charge du PA QSA Si le PA QSA atteint un niveau de qualit satisfaisant en phase de rattrapage il est de nouveau soumis au programme d chantillonnage pour les nouveaux PA QSA S il ny parvient pas il passe la phase de R vocation Notez que si une application de paiement figurant dans la liste du PCI SSC des applications de paiement conformes la norme PA DSS est compromise par une erreur manant du PA QSA celui ci passe imm diatement en phase de rattrapage Le PA QSA doit atteindre un niveau de qualit satisfaisant pour tre de nouveau soumis au programme d chantillonnage pour les nouveaux PA QSA Guide du programme PCI PA DSS v 1 2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 25 Security Standards Council R vocation Lorsqu un PA QSA est r voqu il est retir de la liste des PA QSA agr s du PCI SSC D s lors il ne peut plus r aliser de v rifications d applications de paiement Il peut faire appel contre sa mise en r vocation mais doit respecter les exigences conform ment aux exigences de conformit pour les valuateurs de s curit qualifi s et aux documents annexes Le PCI SSC se r serve le droit d exiger un examen blanc Avant
61. ualifi s des applications de paiement qui ont r alis la v rification et d termin si l application de paiement tait conforme la norme PA DSS Type application de paiement Le type d application de paiement d signe l un des l ments suivants Point de vente R glement Middleware intergiciel Carte absente Pompe essence automatis e Passerelle Panier d achat Autre March vis Le march vis correspond au march cible de l application de paiement le cas ch ant Les march s suivants constituent des exemples de march s vis s Vente au d tail Remarque Kiosques pour les parcs de stationnement Ces l ments permettent de d terminer si l application de paiement est con ue pour un march particulier et non des Commerce lectronique seules fins de marketing pour le fournisseur de logiciels Essence huile R gion ou localit sp cifique pour application de paiement le cas ch ant La r gion ou localit sp cifique pour l application de paiement s applique aux applications de paiement qui sont exclusivement d velopp es pour des r gions ou localit s g ographiques sp cifiques Guide du programme PCI PA DSS v 1 2 l ments de la lettre d acceptation Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 33 Security Standards Council Annexe B Identification des builds d applications de paiement certifi es Remarqu
62. um ro de version existant Num ro d approbation du PCI SSC Nouveaux nom et num ro de version de l application de paiement le cas ch ant Nouveau nom de l application Nouveau num ro de version Description des modifications le cas ch ant Fonctionnalit s de l application de paiement cocher toutes les cases correspondantes LI Point de vente LI Panier d achat LI Carte absente LC Middleware intergiciel LI R glement LI Passerelle L Pompe essence automatis e C Autres pr ciser Guide du programme PCI PA DSS v 1 2 Auto attestation pour les modifications mineures de versions Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 35 Security p Standards Council March vis par l application Guide du programme PCI PA DSS v 1 2 Auto attestation pour les modifications mineures de versions Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 36 Security E Standards Council Partie 2 Informations sur la soci t PA QSA Nom de l entreprise Nom du principal contact Poste PA QSA OCCUP T l phone Adresse lectronique Adresse professionnelle Ville tat province Pays Code postal URL Partie 3 Confirmation du statut de modification Partie 3a Attestation du fournisseur de l application de paiement En se basant sur l analyse de changement interne et sur la documentation de l analyse de changement PA Vendor
63. ustry tous les niveaux d aligner et de normaliser les exigences de s curit les proc dures d valuation de s curit et les processus d identification des applications de paiement jug es conformes par un PA QSA La norme PA DSS et les normes associ es du PCI SSC d finissent un cadre commun pour les valuations de s curit reconnu par toutes les marques de cartes de paiement Toutes les parties prenantes du processus de paiement tirent des avantages de l alignement des exigences les clients vont b n ficier d une gamme plus tendue d applications de paiement s curis es es clients sont assur s d utiliser des produits r pondant au niveau de conformit requis les fournisseurs devront simplement r aliser une seule v rification d application de paiement qui sera reconnue par toutes les marques de cartes de paiement Pour de plus amples informations sur le PCI SSC reportez vous au site Web du PCI SSC wwvw pcisecuritystandards org ci apr s d nomm le site Web Pr sentation de l initiative d alignement PA DSS Le pr sent Guide du programme de la norme PA DSS de la PCI Payment Card Industry illustre un alignement des exigences des marques de cartes de paiement combin es pour former un ensemble normalis d exigences de s curit et de proc dures d valuation des Remarque applications de paiement Les rapports PA DSS sont de processus d identification des applications de paiemen
64. yright 2008 PCI Security Standards Council LLC Page 34 Security E Standards Council Annexe C Auto attestation pour les modifications mineures de versions Instructions de transmission Le fournisseur de l application de paiement et l valuateur de s curit qualifi des applications de paiement PA QSA doivent remplir ce document qui fait office de d claration sur l tat de conformit de l application de paiement vis vis de la norme de s curit des donn es des applications de paiement PA DSS Le fournisseur de l application de paiement doit remplir toutes les sections et transmettre au PA QSA le document d analyse de changement accompagn de la pr sente auto attestation Suite la v rification de la documentation fournie le PA QSA doit remplir les sections applicables et transmettre ce document au PCI SSC accompagn des copies de tous les documents requis en respectant les instructions du PCI SSC en mati re de cryptage et de transmission des rapports Partie 1 Informations sur le fournisseur de l application de paiement Nom de l entreprise Nom du contact Poste occup T l phone Adresse lectronique Adresse professionnelle Ville tat province Pays Code postal URL Partie 1a Informations sur l application de paiement Nom et num ro de version de l application de paiement parente figurant actuellement sur la liste du PCI SSC Nom de l application existant N
Download Pdf Manuals
Related Search