Payment Application Data Security Standard - Payment Card Industry (PCI) Conditions et procédures d'évaluation de sécurité
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Payment Card Industry (PCI)
Payment Application Data Security Standard
Conditions et procédures d'évaluation de sécurité
Version 2.0
Octobre 2008Modifications apportées au document
Date Version Description Pages
Harmonisation du contenu avec la nouvelle procédure PCI DSS v1.2 et implémentation des
1 Octobre 2008 1.2
changements mineurs notés depuis la v1.1 d'origine.
Sous « Champ d'application de la norme PA-DSS », harmonisation du contenu sur le Guide du
programme PA-DSS, v1.2.1, pour clarifier les applications auxquelles s'applique la norme PA- v, vi
DSS .
Juillet 2009 1.2.1 Dans Conditions de laboratoire 6, correction de l'orthographe de « OWASP » 30
Dans Attestation de conformité, partie 2a, mise à jour de la fonctionnalité des applications de
paiement pour qu'elle soit cohérente avec les types d'application indiqués dans le Guide du 32, 33
programme PA-DSS, et clarification des procédures de revalidation annuelles dans la partie 3b
Mise à jour et implémentation des changements mineurs depuis la version 1.2.1 et
Octobre 2008 2.0 harmonisation avec la nouvelle procédure PCI DSS v2.0 Pour plus de détails, consulter « PA-
DSS – Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS »
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 2
Copyright 2010 PCI Security Standards Council LLC Octobre 2010Table des matières Modifications apportées au document ...................................................................................................................................................................... 2 Introduction ………………………………………………………………………………………………………………………………………………………...4 Objectif de ce document............................................................................................................................................................................................. 4 Relation entre PCI DSS et PA-DSS ........................................................................................................................................................................... 4 Champ d'application de la norme PA-DSS ................................................................................................................................................................ 5 Conditions d’application de la norme PA-DSS aux terminaux matériels ................................................................................................................... 7 Rôles et responsabilités ............................................................................................................................................................................................. 8 Guide de mise en œuvre de la norme PA-DSS ....................................................................................................................................................... 11 Exigences relatives aux PA-QSA ............................................................................................................................................................................. 11 Laboratoire de test.................................................................................................................................................................................................... 12 Informations relatives aux conditions d’application des normes PCI DSS ......................................................................................................... 13 Instructions et contenu du rapport de conformité ................................................................................................................................................. 15 Étapes de mise en conformité avec la norme PA-DSS .......................................................................................................................................... 17 Guide du programme de la norme PA-DSS............................................................................................................................................................. 17 Conditions et procédures d’évaluation de sécurité de la norme PA-DSS ........................................................................................................... 19 1. Ne pas conserver la totalité des données de bande magnétique, de code ou de valeur de vérification de carte (CAV2, CID, CVC2, CVV2), ou de bloc PIN .......................................................................................................................................................................................................... 19 2. Protéger les données de titulaire de carte stockées....................................................................................................................................... 24 3. Fournir des fonctions d'authentification sécurisées ........................................................................................................................................ 30 4. Enregistrer l'activité des applications de paiement ......................................................................................................................................... 35 5. Développer des applications de paiement sécurisées.................................................................................................................................... 38 6. Protéger les transmissions sans fil ................................................................................................................................................................. 42 7. Tester les applications de paiement pour gérer les vulnérabilités .................................................................................................................. 44 8. Permettre la mise en œuvre de réseaux sécurisés ........................................................................................................................................ 45 9. Les données de titulaire de carte ne doivent jamais être stockées sur un serveur connecté à Internet........................................................ 45 10. Permettre un accès à distance sécurisé à l'application de paiement ............................................................................................................. 46 11. Crypter le trafic sensible transitant par les réseaux publics............................................................................................................................ 50 12. Crypter tous les accès administratifs non-console ......................................................................................................................................... 51 13. Gérer la documentation fournissant des instructions et les programmes de formation pour les clients, les revendeurs et les intégrateurs. 51 Annexe A : Résumé du contenu du Guide de mise en œuvre de la norme PA-DSS ....................................................................................... 53 Annexe B : Confirmation de la configuration du laboratoire de test spécifique à l’évaluation de la norme PA-DSS.................................. 61 Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 3 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Introduction
Objectif de ce document
Ce document est destiné aux PA-QSA (Payment Application-Qualified Security Assessors, évaluateurs de sécurité qualifiés des applications de
paiement) responsables de l'examen des applications de paiement, afin que les fournisseurs de logiciels puissent valider la conformité d'une
application de paiement avec la norme PA-DSS (Payment Application Data Security Standard, ou norme de sécurité des données des
applications de paiement PCI DSS). Ce document doit également être utilisé par les évaluateurs PA-QSA comme modèle pour l'élaboration du
rapport de conformité.
Des ressources supplémentaires comprenant les attestations de conformité, la foire aux questions (FAQ) et le glossaire des termes, abréviations,
et acronymes PCI DSS et PA-DSS sont disponibles sur le site Web du PCI Security Standards Council (PCI SSC) –www.pcisecuritystandards.org.
Relation entre PCI DSS et PA-DSS
L'utilisation d'une application, conforme à la norme PA-DSS en elle-même, n'en fait pas une entité conforme aux normes PCI DSS, car elle doit
être mise en œuvre dans un environnement respectant ces normes, conformément au Guide de mise en œuvre de la norme PA-DSS remis par le
fournisseur d'applications de paiement (d'après l'exigence 13.1 de la norme PA-DSS).
Les exigences de la norme PA-DSS sont issues des conditions et procédures d’évaluation de sécurité des normes PCI DSS. Ce document,
disponible sur le site www.pcisecuritystandards.org, décrit ce qui doit être conforme aux normes PCI DSS (et, par conséquent, ce que doit prendre
en charge une application de paiement pour assurer la conformité du client avec les normes PCI DSS).
La conformité conventionnelle avec la norme PCI DSS peut ne pas s'appliquer directement aux fournisseurs d'applications de paiement car la
plupart des fournisseurs ne stockent, ne traitent et ne transmettent pas de données de titulaire de carte. Cependant, étant donné que ces
applications de paiement sont utilisées par les clients pour stocker, traiter et transmettre des données de titulaire de carte, et que les clients sont
dans l'obligation de respecter les normes PCI DSS, les applications de paiement doivent permettre au client (et non l'empêcher) de se conformer
aux normes PCI DSS. Voici quelques exemples de la façon dont les applications de paiement peuvent compromettre la conformité :
1. Stockage des données de bande magnétique et/ou équivalent sur la puce sur le réseau du client après autorisation.
2. Applications exigeant que les clients désactivent d'autres fonctions requises par la norme PCI DSS, comme les programmes antivirus ou
les pare-feu, afin que l'application de paiement fonctionne correctement.
3. Utilisation par les fournisseurs de méthodes non sécurisées pour se connecter à l'application lors d'une intervention d'assistance au client.
Les applications de paiement sécurisées, lorsqu'elles sont mises en œuvre dans un environnement conforme aux normes PCI DSS, réduisent
autant que possible le risque que des failles de la sécurité compromettent les données de bande magnétique, les codes et valeurs de validation
de carte (CAV2, CID, CVC2, CVV2), les codes et les blocs PIN, ainsi que la fraude résultant de ces failles.
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 4
Copyright 2010 PCI Security Standards Council LLC Octobre 2010Champ d'application de la norme PA-DSS
La norme PA-DSS s'applique aux fournisseurs de logiciels et autres qui développent des applications de paiement stockant, traitant ou
transmettant des données de titulaire de carte dans le cadre d'une autorisation ou d'un règlement, lorsque ces applications de paiement sont
vendues, distribuées ou cédées sous licence à des tiers.
Le guide suivant peut être utilisé pour déterminer si la norme PA-DSS s'applique à une application de paiement donnée.
La norme PA-DSS s'applique aux applications de paiement généralement vendues et installées « prêtes à Remarque :
l'emploi », sans modification de la part des fournisseurs de logiciels. Les produits validés
La norme PA-DSS concerne les applications de paiement fournies en modules, habituellement composés d'application de paiement
d'un module de base et d'autres modules spécifiques aux types de clients ou fonctions, ou personnalisés à ne peuvent en aucun cas
la demande du client. Il se peut que la norme PA-DSS s'applique uniquement au module de base si ce être des versions bêta.
dernier est le seul à exécuter des fonctions de paiement (après confirmation par un PA-QSA). Si d'autres
modules réalisent des fonctions de paiement, la norme PA-DSS s'applique également à ces modules. Noter que, pour les fournisseurs de
logiciels, l'isolement des fonctions de paiement sur un seul ou sur quelques modules de base (en réservant les autres modules pour des
fonctions autres que le paiement) constitue une « meilleure pratique ». Cette meilleure pratique (bien qu'elle ne constitue pas une
condition) peut limiter le nombre de modules soumis à la norme PA-DSS.
La norme PA-DSS NE concerne PAS les applications de paiement proposées par des fournisseurs d'applications et de services en tant
que service seulement (à moins que de telles applications ne soient également vendues, cédées sous licence ou distribuées à des tiers)
car :
1) L'application constitue un service proposé à des clients (généralement des commerçants) et ceux-ci n'ont pas la capacité de gérer,
installer ou contrôler l'application ou son environnement.
2) L'application est couverte par son évaluation PCI DSS ou celle du prestataire de services (cette couverture doit être confirmée par le
client).
3) Et/ou l'application n'est pas vendue, distribuée ni cédée sous licence à des tiers.
Les exemples d'applications de paiement du type « logiciel en tant que service » comprennent entre autres :
1) Celles offertes par les prestataires de service d'application (ASP) qui hébergent des applications de paiement sur leur site et les
mettent à la disposition de leurs clients. Notez que la norme PA-DSS s'appliquerait cependant, si l'application de paiement de l'ASP
était également vendue ou mise en œuvre sur le site d'un tiers, et n'était pas couverte par l'évaluation PCI DSS de l'ASP.
2) Les applications sur terminal virtuel qui résident sur le site d'un prestataire de services et sont utilisées par des commerçants pour
saisir leurs transactions de paiement. Notez que la norme PA-DSS s'appliquerait si l'application sur terminal virtuel comportait une
portion distribuée ou implémentée sur le site d'un commerçant, et si elle n'était pas couverte par l'évaluation PCI DSS du fournisseur
du terminal virtuel.
La PA-DSS ne s'applique PAS aux applications de non paiement faisant partie d'une suite d'applications de paiement. Ces applications
(par exemple, une application de contrôle, de détection ou d'enregistrement des fraudes, intégrée à une suite logicielle) peuvent être,
mais ce n'est pas une obligation, couvertes par la norme PA-DSS si la totalité de la suite logicielle fait l'objet d'une évaluation. Toutefois, si
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 5
Copyright 2010 PCI Security Standards Council LLC Octobre 2010l'application de paiement fait partie d'une suite dont la conformité dépend de celles des autres applications de la suite aux conditions PA-
DSS, une seule évaluation PA-DSS doit être effectuée pour l'application de paiement concernée et toutes les autres applications de la
suite dont elle dépend. Ces applications ne doivent pas être évaluées séparément des autres applications dont elles dépendent puisque
les exigences PA-DSS ne sont pas remplies par une seule application.{ut}
La norme PA-DSS NE s'applique PAS à une application de paiement développée pour un seul client et vendue à celui-ci, puisque cette
application sera couverte dans le cadre de l'examen de conformité PCI DSS normal du client. Noter que ce type d'application (que l'on
peut qualifier d'application « sur mesure ») est vendue à un seul client (en général un commerçant ou un prestataire de services
important) et elle est conçue et développée selon les spécifications du client.
La norme PA-DSS NE s'applique PAS aux applications de paiement développées par des commerçants et des prestataires de services si
elles sont utilisées en interne uniquement (ni vendues, ni distribuées ni cédées sous licence à un tiers), puisque de telles applications de
paiement seraient couvertes par la conformité normale du prestataire de services/commerçant aux normes PCI DSS.
Par exemple, concernant ces deux derniers points, le fait que l'application de paiement développée en interne ou sur mesure stocke des
données d'authentification sensibles interdites ou autorise des mots de passe complexes serait couvert dans le cadre de la conformité
normale du commerçant ou du prestataire de services aux normes PCI DSS et ne nécessiterait pas d'évaluation PA-DSS distincte.
La liste non exhaustive suivante fournit des exemples d'applications AUTRES que des applications de paiement pour les besoins de la PA-DSS
(et qui, par conséquent, n'ont pas besoin d'être soumises aux examens PA-DSS) :
les systèmes d'exploitation sur lesquels une application de paiement est installée (par exemple, Remarque : le PCI SSC répertorie
Windows, Unix) ; UNIQUEMENT les applications de
les systèmes de base de données stockant des données de titulaire de carte (par exemple, paiement.
Oracle) ;
les systèmes de back office stockant les données de titulaire de carte (par exemple, pour les besoins de reporting ou du service client).
Le champ d'application de la vérification PA-DSS doit comprendre les points suivants :
Couverture de toutes les fonctions d'application de paiement, y compris sans s'y limiter 1) les fonctions de paiement complètes
(autorisation et règlement), 2) les entrées et les sorties, 3) les conditions d'erreur, 4) les interfaces et les connexions à d'autres fichiers,
systèmes et/ou à des applications de paiement ou à des composants d'application, 5) tous les flux de données de titulaire de carte, 6) les
dispositifs de cryptage et 7) les dispositifs d'authentification.
Assistance que le fournisseur de l'application de paiement est tenu de proposer aux clients et aux revendeurs/intégrateurs (voir le Guide
de mise en œuvre de la norme PA-DSS ci-après) pour s'assurer que 1) le client sait comment mettre en œuvre l'application de paiement
conformément aux normes PCI DSS et que 2) le client est clairement informé que certains paramètres des applications et environnements
de paiement peuvent compromettre la conformité avec les normes PCI DSS. Noter que le fournisseur de l'application de paiement peut
être tenu de fournir ces directives, même lorsque le paramètre concerné 1) ne peut pas être contrôlé par le fournisseur une fois
l'application installée par le client ou 2) dépend de la responsabilité du client, et non du fournisseur de l'application de paiement.
Couverture de toutes les plates-formes sélectionnées pour la version révisée de l'application de paiement (les plates-formes incluses
doivent être indiquées).
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 6
Copyright 2010 PCI Security Standards Council LLC Octobre 2010 Couverture des outils utilisés par ou au sein d'une application de paiement pour accéder et/ou consulter des données de titulaire de carte
(outils de reporting, de journalisation, etc.).
Conditions d’application de la norme PA-DSS aux terminaux matériels
Les applications de paiement conçues pour fonctionner sur des terminaux matériels (également appelés terminaux de point de vente autonomes
ou réservés) peuvent subir une vérification si le fournisseur souhaite obtenir une validation et s'il est possible de remplir les conditions de
conformité à la norme PA-DSS. Les besoins des entreprises et les obligations de conformité sont des exemples de raisons pour lesquelles un
fournisseur pourrait souhaiter une validation PA-DSS pour une application de paiement sur un terminal matériel. Ce chapitre donne des directives
aux fournisseurs qui souhaitent obtenir une validation PA-DSS pour les applications de paiement résidentes sur des terminaux matériels.
Une application de paiement résidente sur un terminal matériel peut obtenir la validation PA-DSS de deux manières :
1. L'application de paiement résidente remplit directement les conditions PA-DSS et est validée selon les procédures PA-DSS standards.
2. L'application de paiement résidente ne remplit pas toutes les exigences PA-DSS, mais le matériel sur lequel l'application réside est
répertorié sur la liste des dispositifs PTS (PIN Transaction Security – sécurité de transaction PIN) agréés par le PCI SSC comme un
dispositif POI (Point of Interaction – point d'interaction) agréé selon les normes PCI PTS. Dans ce cas, une application peut remplir les
conditions PA-DSS par le biais d'une combinaison de contrôles PA-DSS et PTS validés.
Le reste de ce chapitre concerne uniquement les applications de paiement qui résident sur un dispositif POI agréé selon les normes PCI PTS.
Si une ou plusieurs conditions PA-DSS ne sont pas remplies directement par l'application de paiement, elles peuvent l'être indirectement par des
contrôles testés dans le cadre de la validation PCI PTS. Pour être intégré à une évaluation PA-DSS, le dispositif matériel DOIT être validé comme
dispositif POI agréé selon les normes PCI PTS et figurer sur la liste des dispositifs PTS agréés du PCI SSC. Le dispositif POI validé PTS, qui
assure un environnement informatique fiable, deviendra une « dépendance requise » de l'application de paiement, et la combinaison de
l'application et du matériel figurera sur la liste PA-DSS des applications de paiement validées.
Lors de l'évaluation PA-DSS, l'évaluateur PA-QSA doit tester à fond l'application de paiement et son matériel dépendant en fonction de toutes les
conditions PA-DSS. Si l'évaluateur PA-QSA estime qu'une ou plusieurs conditions PA-DSS ne sont pas remplies par l'application de paiement
résidente, mais qu'elles le sont par les contrôles validés aux termes des normes PCI PTS, l'évaluateur PA-QSA doit :
1. Indiquer clairement les conditions remplies aux termes de la norme PA-DSS (de la manière habituelle);
2. Indiquer clairement quelle condition a été remplie aux termes des normes PCI PTS dans la case « En place » concernée.
3. Donner l'explication détaillée des raisons pour lesquelles l'application de paiement ne remplit pas les conditions PA-DSS.
4. Documenter les procédures exécutées afin de déterminer comment cette condition a été pleinement remplie par un contrôle validé PCI
PTS.
5. Répertorier le terminal matériel validé PCI PTS comme dépendance requise dans le résumé du rapport validant la conformité.
Une fois la validation de l'application de paiement terminée par le PA-QSA et acceptée par le PCI SSC, le dispositif matériel validé PTS sera
répertorié comme une dépendance de l'application de paiement sur la liste PA-DSS des applications validées.
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 7
Copyright 2010 PCI Security Standards Council LLC Octobre 2010Les applications de paiement résidant sur des terminaux matériels, validées à travers une combinaison de contrôles PA-DSS et PCI PTS, doivent
répondre aux critères suivants :
1. Être fournies ensemble au client (le terminal matériel et l'application), OU, si elles sont fournies séparément, le fournisseur d'applications
et/ou le revendeur/intégrateur doit conditionner l'application en vue de sa distribution de sorte qu'elle fonctionne uniquement sur le
terminal matériel sur lequel elle a été validée.
2. Être activées par défaut pour garantir la conformité PCI DSS du client.
3. Comprendre une assistance et des mises à jour permanentes pour conserver la conformité PCI DSS.
4. Si l'application est vendue, distribuée ou cédée sous licence séparément aux clients, le fournisseur doit indiquer les spécifications du
matériel dépendant requis à utiliser avec l'application, conformément à son référencement de validation PA-DSS.
Rôles et responsabilités
Il existe plusieurs parties prenantes au sein de la communauté des applications de paiement. Certaines de ces parties prenantes participent plus
directement que d’autres au processus d’évaluation PA-DSS (fournisseurs, QSA et PCI SCC). D’autres, indirectement impliquées dans le
processus d’évaluation, doivent avoir connaissance du processus global afin de faciliter les décisions professionnelles s’y rapportant.
Les sections suivantes définissent les rôles et responsabilités des parties prenantes dans la communauté des applications de paiement. Les
responsabilités associées au processus d’évaluation sont mentionnées pour les parties prenantes impliquées.
Marques de cartes de paiement
American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. sont les marques de cartes de paiement
qui ont fondé le PCI SSC. Elles sont responsables du développement et de l'application de tous les programmes relatifs à la conformité à la norme
PA-DSS, y compris des éléments suivants (liste non exhaustive) :
conditions, mandat ou date pour l'utilisation des applications de paiement conformes à la norme PA-DSS ;
amendes ou pénalités relatives à l'utilisation d'applications de paiement non conformes.
Les marques de cartes de paiement peuvent définir des programmes de conformité, des mandats, des dates, etc., basés sur la norme PA-DSS et
les applications de paiement conformes répertoriées par le PCI SSC. À travers ces programmes de conformité, les marques de cartes de
paiement assurent la promotion des applications de paiement conformes répertoriées.
Payment Card Industry Security Standards Council (PCI SSC)
Le PCI SSC (Payment Card Industry Security Standards Council, conseil sur les normes de sécurité du secteur des cartes de paiement) est
l'organisme de normalisation qui gère les normes du secteur des cartes de paiement, dont les normes PCI DSS et PA-DSS. En ce qui concerne la
norme PA-DSS, le PCI SSC :
regroupe et conserve les rapports de conformité PA-DSS ;
réalise des analyses d’assurance qualité sur les rapports de conformité PA-DSS, afin d'en vérifier la cohérence et la qualité ;
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 8
Copyright 2010 PCI Security Standards Council LLC Octobre 2010 dresse, sur le site Web, la liste des applications de paiement conformes à la norme PA-DSS ;
assure la qualification et la formation des PA-QSA pour réaliser les vérifications PA-DSS ;
conserve et met à jour la norme PA-DSS et la documentation connexe selon un processus de gestion du cycle de vie des normes.
Noter que le PCI SSC ne valide pas la conformité des rapports. Le rôle des PA-QSA est de documenter la conformité de l’application de paiement
à la norme PA-DSS, à la date de l’évaluation. Le PCI SSC réalise en outre une analyse d’assurance qualité afin de garantir que les PA-QSA ont
documenté, d'une manière précise et complète, les évaluations PA-DSS.
Fournisseurs de logiciels
Les fournisseurs de logiciels (« les fournisseurs ») développent des applications de paiement qui stockent, traitent ou transmettent des données
de titulaire de carte dans le cadre d'une autorisation ou d'un règlement, puis les vendent, les distribuent ou les cèdent sous licence à des tiers
(clients ou revendeurs/intégrateurs). Responsabilités des fournisseurs :
créer des applications de paiement conformes à la norme PA-DSS, qui permettent, plutôt qu’elles ne les empêchent, à leurs clients de se
conformer aux normes PCI DSS (l'application ne peut pas imposer une implémentation ou un réglage de configuration enfreignant une
exigence des normes PCI DSS) ;
respecter les conditions des normes PCI DSS chaque fois que le fournisseur stocke, traite ou transmet des données de titulaire de carte
(par exemple, lors du dépannage du client) ;
créer un Guide de mise en œuvre de la norme PA-DSS, spécifique à chaque application de paiement, conformément aux conditions de
ce document ;
éduquer les clients, revendeurs et intégrateurs à l'installation et à la configuration des applications de paiement conformément aux
normes PCI DSS ;
garantir que les applications de paiement respectent les normes PA-DSS en passant avec succès une vérification PA-DSS comme
l'indique ce document.
PA-QSA
Les PA-QSA sont des QSA (Qualified Security Assessors, évaluateurs de sécurité qualifiés) qualifiés et formés par le PCI SSC pour effectuer des
vérifications PA-DSS.
Responsabilités des PA-QSA : Remarque : les QSA ne sont
réaliser des évaluations des applications de paiement conformément aux procédures d’évaluation de pas tous des PA-QSA ; un QSA
sécurité et aux conditions de conformité des PA-QSA ; doit répondre à des exigences
formuler un avis sur la conformité de l'application de paiement aux conditions de la norme PA-DSS ; de qualification supplémentaires
pour devenir PA-QSA.
fournir, dans le rapport de conformité, la documentation adéquate permettant de prouver la
conformité de l’application de paiement à la norme PA-DSS ;
transmettre le rapport de conformité au PCI SSC, accompagné de l’attestation de conformité (signée par le PA-QSA et par le
fournisseur) ;
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 9
Copyright 2010 PCI Security Standards Council LLC Octobre 2010 disposer d'un processus interne d’assurance qualité à l'appui des efforts de leurs PA-QSA.
Il incombe aux PA-QSA de spécifier si l’application de paiement est conforme. Le PCI SSC ne valide pas les rapports de conformité du point de
vue de la conformité technique, mais les soumettent à des analyses d’assurance qualité, afin de garantir que la preuve de la conformité y est
correctement documentée.
Revendeurs et intégrateurs
Les revendeurs et les intégrateurs sont ceux qui vendent, installent et/ou interviennent sur les applications de paiement au nom de fournisseurs
de logiciels ou autres. Responsabilités des revendeurs et des intégrateurs :
mettre en œuvre une application de paiement selon la norme PA-DSS dans un environnement conforme aux normes PCI DSS (ou
indiquer au commerçant de le faire) ;
configurer l'application de paiement (lorsque des options de configuration sont fournies) selon le Guide de mise en œuvre de la norme
PA-DSS remis par le fournisseur ;
configurer l'application de paiement (ou indiquer au commerçant de le faire) conformément aux normes PCI DSS ;
intervenir sur les applications de paiement (par exemple, dépannage, mise à disposition de mises à jour et assistance à distance)
conformément au Guide de mise en œuvre de la norme PA-DSS et aux normes PCI DSS.
Les revendeurs et les intégrateurs ne soumettent pas les applications de paiement à des évaluations. Seul le fournisseur peut soumettre des
produits à évaluation.
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 10
Copyright 2010 PCI Security Standards Council LLC Octobre 2010Clients
Les clients sont les commerçants, fournisseurs de services et autres qui achètent ou reçoivent une application de
Remarque : une application
paiement d'un tiers, pour stocker, traiter ou transmettre des données de titulaire de carte dans le cadre de de paiement conforme à la
l'autorisation ou du règlement de transactions de paiement. Responsabilités des clients voulant utiliser des norme PA-DSS seule ne
applications conformes à la norme PA-DSS : garantit pas la conformité
mettre en œuvre une application de paiement conforme à la norme PA-DSS dans un environnement aux normes PCI DSS.
conforme aux normes PCI DSS ;
configurer l'application de paiement (lorsque des options de configuration sont fournies) selon le Guide de mise en œuvre de la norme
PA-DSS remis par le fournisseur ;
configurer l'application de paiement conformément aux normes PCI DSS ;
conserver leur statut de conformité aux normes PCI DSS pour la configuration de l'environnement et de l'application de paiement.
Guide de mise en œuvre de la norme PA-DSS
Les applications de paiement validées doivent pouvoir être mises en œuvre en respectant les normes PCI DSS. Les fournisseurs de logiciels sont
dans l'obligation de fournir un Guide de mise en œuvre de la norme PA-DSS pour informer leurs clients et les revendeurs/intégrateurs sur la mise
en œuvre sécurisée des produits, pour documenter les spécifications d'une configuration sécurisée, mentionnées tout au long de ce document, et
pour indiquer clairement les responsabilités des fournisseurs, des revendeurs/intégrateurs ainsi que celles des clients afin de remplir les
conditions des normes PCI DSS. Ce guide doit détailler la façon dont le client et/ou le revendeur/l'intégrateur doivent activer les réglages de
sécurité au sein du réseau du client. Par exemple, le Guide de mise en œuvre de la norme PA-DSS doit indiquer les responsabilités et les
caractéristiques fondamentales de la sécurité PCI DSS par mot de passe, même si cela n'est pas contrôlé par l'application de paiement, de façon
à ce que le client ou le revendeur/l'intégrateur comprenne comment mettre en œuvre des mots de passe sécurisés dans le respect des normes
PCI DSS.
Les applications de paiement, lorsqu'elles sont mises en œuvre conformément au Guide de mise en œuvre de la norme PA-DSS dans un
environnement respectant les normes PCI DSS, doivent permettre et soutenir la conformité des clients aux normes PCI DSS.
Se reporter à l'Annexe A : Résumé du contenu du Guide de mise en œuvre de la norme PA-DSS, pour comparer les responsabilités de la mise en
œuvre des contrôles spécifiés dans ce guide.
Exigences relatives aux PA-QSA
Seuls les PA-QSA (Payment Application Qualified Security Assessors, évaluateurs de sécurité qualifiés des applications de paiement) employés
par les sociétés QSA (Qualified Security Assessor, évaluateur de sécurité qualifié) sont autorisés à réaliser des évaluations PA-DSS. Consulter le
site www.pcisecuritystandards.org afin d'avoir la liste des sociétés QSA qualifiées pour mener ces évaluations.
Le PA-QSA doit utiliser les procédures de test documentées dans ce document sur la norme PA-DSS.
Le PA-QSA doit avoir accès au laboratoire où le processus de validation est censé avoir lieu.
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 11
Copyright 2010 PCI Security Standards Council LLC Octobre 2010Laboratoire de test
Les laboratoires de test peuvent exister soit sur le site du PA-QSA soit sur celui du fournisseur du logiciel.
Ce laboratoire doit permettre de simuler une utilisation en conditions réelles de l'application de paiement.
Le PA-QSA doit valider l'installation appropriée du laboratoire afin de garantir que celui-ci simule vraiment une situation en conditions
réelles et que le fournisseur ne l'a pas modifié ni altéré d'aucune façon.
Se reporter à l'Annexe B : Confirmation de la configuration du laboratoire de test spécifique à l’évaluation de la norme PA-DSS de ce
document, pour connaître les conditions détaillées applicables au laboratoire et aux processus de laboratoire associés.
Le PA-QSA doit compléter l'Annexe B et la renvoyer. Il doit la compléter pour le laboratoire spécifique utilisé pour l'application de
paiement examinée. Cette annexe fait partie du rapport PA-DSS complet.
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 12
Copyright 2010 PCI Security Standards Council LLC Octobre 2010Informations relatives aux conditions d’application des normes PCI DSS
(Extrait de PCI DSS)
La norme de sécurité des données du secteur des cartes de paiement (PCI DSS) s'applique partout où des données de compte sont stockées,
traitées ou transmises. Les données de compte regroupent les données du titulaire de carte plus les données d'authentification sensibles,
indiquées ci-dessous.
Les données du titulaire de carte Les données d'authentification sensibles
comprennent : comprennent :
Numéro de compte primaire (PAN) Données de bande magnétique
complètes ou leur équivalent sur une
Nom du titulaire de la carte puce
Date d'expiration CAV2/CVC2/CVV2/CID
Code service Codes/blocs PIN
Le PAN (Primary Account Number, numéro de compte primaire) est le facteur de définition de l'applicabilité des conditions PCI DSS et
de la norme PA-DSS. Les conditions PCI DSS sont applicables si un PAN est stocké, traité ou transmis. Si le PAN n'est pas stocké, traité ni
transmis, les normes PCI DSS et PA-DSS ne s'appliquent pas.
Si le nom du titulaire de carte, le code de service, et/ou la date d'expiration sont stockés, traités ou transmis avec le PAN, ou existent d'une façon
ou d'une autre dans l'environnement des données du titulaire de carte, ils doivent être protégés conformément à toutes les conditions PCI DSS
sauf les conditions 3.3 et 3.4, qui s'appliquent uniquement au PAN.
Le PCI DSS représente un ensemble minimum d'objectifs de contrôle qui peut être renforcé par des lois et règlements locaux, régionaux ou
sectoriels. En outre, la législation ou la réglementation peuvent exiger une protection spécifique des informations personnelles identifiables ou
d'autres éléments de données (par exemple, le nom du titulaire de carte), ou définir les pratiques de divulgation d'une entité, relatives aux
informations concernant le consommateur. La législation relative à la protection des données des consommateurs, à la confidentialité, au vol
d'identité, ou à la sécurité des données en est un exemple. Le PCI DSS ne supplante pas les lois locales ou régionales, réglementations
gouvernementales ou autres obligations légales.
Le tableau ci-dessous provenant des normes PCI DSS présente un certain nombre d’éléments communément utilisés des données de titulaire de
carte et d’authentification sensibles, indique si le stockage de chaque élément de données est autorisé ou interdit, et précise si chaque élément
de données doit être ou non protégé. Ce tableau n'est pas exhaustif, mais est présenté de manière à illustrer les différentes conditions qui
s'appliquent à chaque élément de données.
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 13
Copyright 2010 PCI Security Standards Council LLC Octobre 2010Stockage Rendre illisibles les
Élément de données autorisé données de compte
stockées selon la
condition 3.4 de la norme
PCI DSS
Numéro de compte primaire
Oui Oui
(PAN)
Données du
titulaire de la Nom du titulaire de la carte Oui Non
Données de compte
carte Code service Oui Non
Date d'expiration Oui Non
Données complètes de la bande Stockage interdit selon
2 Non
magnétique condition 3.2
Données
Stockage interdit selon
d'authentification CAV2/CVC2/CVV2/CID Non
1 condition 3.2
sensibles
Stockage interdit selon
Code/bloc PIN Non
condition 3.2
Les conditions 3.3 et 3.4 de la norme PCI DSS ne s'appliquent qu'au PAN. Si le PAN est stocké avec d'autres données du titulaire de carte, seul
le PAN doit être rendu illisible selon la condition 3.4 de la norme PCI DSS.
Les normes PCI DSS s'appliquent uniquement si les PAN sont stockés, traités et/ou transmis.
1
Une fois le processus d’autorisation terminé, les données d'authentification sensibles ne doivent plus être stockées (même si elles sont cryptées).
2
Données de piste complètes extraites de la bande magnétique, données équivalentes de la puce, ou d'un autre support.
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 14
Copyright 2010 PCI Security Standards Council LLC Octobre 2010Instructions et contenu du rapport de conformité
Ce document sera utilisé par les PA-QSA comme modèle pour l'élaboration de leur rapport de conformité. Tous les évaluateurs PA-QSA doivent
suivre les instructions de contenu et de mise en forme indiquées ici lorsqu'ils remplissent le rapport de conformité.
Le rapport de conformité doit comprendre les informations suivantes en préface des conditions et procédures d’évaluation de sécurité détaillées :
1. Description du champ d'application de la vérification
Description du champ d'application des éléments à couvrir lors de la vérification, conformément au paragraphe sur le champ
d'application de la norme PA-DSS ci-dessus
Calendrier de validation
Version PA-DSS utilisée lors de l’évaluation
Liste de la documentation vérifiée
2. Résumé
Indiquer les éléments suivants :
nom du produit ;
version du produit et plates-formes associées couvertes ;
liste des revendeurs et/ou des intégrateurs de ce produit ;
système(s) d'exploitation avec lesquels l'application de paiement a été testée ;
logiciel de base de données utilisé ou pris en charge par l'application de paiement ;
brève description de l'application de paiement/la famille de produits (en 2 ou 3 phrases) ;
schéma de réseau d'une mise en œuvre type de l'application de paiement (pas nécessairement une mise en œuvre spécifique sur le
site d'un client) comprenant, à un haut niveau :
- les connexions internes et externes à un réseau de client,
- les composants au sein du réseau du client, notamment les dispositifs de point de vente, les bases de données et les
serveurs Web, le cas échéant,
- les autres applications de paiement/composants nécessaires, le cas échéant.
description ou schéma de chaque élément de la liaison de communication, notamment dans le cas (1) de connexions LAN, WAN ou
Internet, (2) d'une communication logicielle hôte à hôte et (3) d'un hôte sur lequel des logiciels sont déployés (par exemple, comment
deux processus différents communiquent l'un avec l'autre sur le même hôte) ;
schéma de flux des données illustrant tous les flux de données de titulaire de carte, y compris l'autorisation, la capture, le règlement
et rejet de débit, le cas échéant ;
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 15
Copyright 2010 PCI Security Standards Council LLC Octobre 2010 brève description des fichiers et des tables stockant les données de titulaire de carte, étayée par un inventaire créé (ou obtenu
auprès du fournisseur du logiciel) et conservé par le PA-QSA dans les documents de travail, cet inventaire devant comprendre pour
chaque stockage de données de titulaire de carte (fichier, table, etc.) :
- la liste de tous les éléments de données de titulaire de carte stockés,
- la méthode de sécurisation du stockage de données,
- la méthode de journalisation de l'accès au stockage de données.
liste de tous les composants logiciels relatifs à l'application de paiement, y compris les exigences et les dépendances des logiciels
tiers ;
description des méthodes d'authentification complète de l'application de paiement, notamment le mécanisme d'authentification de
l'application, la base de données d'authentification et la sécurité du stockage de données ;
description du rôle de l'application de paiement dans une mise en œuvre type et les autres types d'applications de paiement
nécessaires pour une mise en œuvre complète du paiement ;
description du client type auquel ce produit est vendu (par exemple, PME, spécifique ou non d'un Remarque : Annexe B :
secteur, Internet, artisan) et base de clients du fournisseur (par exemple, segment de marché, nom Confirmation de la
des grandes entreprises clientes) ; configuration du
définition de la méthodologie de gestion des versions du fournisseur afin de décrire/d'illustrer la façon laboratoire de test
dont le fournisseur indique les changements de version majeurs et mineurs à l'aide des numéros de spécifique à l’évaluation
version, et pour déterminer les types de changements que le fournisseur y inclut. de la norme PA-DSS doit
également être remplie et
3. Conclusions et observations envoyée avec le rapport
Tous les évaluateurs PA-QSA doivent utiliser le modèle suivant pour présenter des descriptions et PA-DSS complété.
conclusions détaillées dans le cadre du rapport.
Décrire les tests réalisés autres que ceux inclus dans la colonne Procédures de test.
Si l'évaluateur estime qu'une condition ne s'applique pas à une application de paiement donnée, il doit en donner l'explication dans la
colonne « En place » concernée.
4. Coordonnées et date du rapport
Coordonnées du fournisseur du logiciel (y compris URL, numéro de téléphone et adresse électronique)
Coordonnées de l'évaluateur PA-QSA (y compris nom, URL, numéro de téléphone et adresse électronique)
Coordonnées du principal contact de l'assurance qualité (AQ) du PA-QSA (y compris nom, numéro de téléphone et adresse
électronique du contact principal AQ)
Date du rapport
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 16
Copyright 2010 PCI Security Standards Council LLC Octobre 2010Étapes de mise en conformité avec la norme PA-DSS
Ce document contient le tableau des conditions et procédures d’évaluation de sécurité, ainsi que l'Annexe B : Confirmation de la configuration du
laboratoire de test spécifique à l’évaluation de la norme PA-DSS. Le document Conditions et procédures d’évaluation de sécurité détaille les
procédures que le PA-QSA doit réaliser. L'Annexe B : Confirmation de la configuration du laboratoire de test spécifique à l’évaluation de la norme
PA-DSS doit être complétée par le PA-QSA pour confirmer l'état et les fonctionnalités du laboratoire de test utilisé pour mener cette évaluation
PA-DSS.
Le PA-QSA doit effectuer les étapes suivantes :
1. Remplir le rapport de conformité en utilisant ce document comme modèle :
a. Compléter la préface du rapport de conformité, en respectant la section intitulée « Instructions et contenu du rapport de
conformité ».
b. Compléter et documenter toutes les étapes détaillées dans les conditions et procédures d’évaluation de sécurité, notamment décrire
brièvement les contrôles observés dans la colonne « En place » et apporter des commentaires éventuels. Noter qu'un rapport
contenant des éléments « Pas en place » ne doit pas être transmis au PCI SSC tant que ceux-ci n'ont pas été reconnus « En
place ».
2. Compléter l'Annexe B : Confirmation de la configuration du laboratoire de test spécifique à l’évaluation de la norme PA-DSS.
3. Remplir et signer une attestation de conformité (à la fois par le PA-QSA et par le fournisseur du logiciel). L'attestation de conformité est
disponible sur le site Web du PCI SSC (www.pcisecuritystandards.org).
4. Après les avoir remplis, soumettre tous les documents ci-dessus au PCI SSC conformément au Guide du programme de la norme PA-
DSS.
Guide du programme de la norme PA-DSS
Se reporter au Guide du programme de la norme PA-DSS pour les informations sur la gestion du programme PA-DSS, notamment sur les points
suivants :
processus de transmission et d'acceptation du rapport PA-DSS ;
processus de renouvellement annuel pour les applications de paiement comprises dans la liste des applications conformes à la norme
PA-DSS ;
migration des applications conformes au programme PABP vers la liste des applications de paiement conformes à la norme PA-DSS ;
notification des responsabilités dans le cas où une application de paiement répertoriée serait mise en cause dans un compromis.
Le PCI SSC se réserve le droit d'exiger une revalidation en cas de changements importants de la PA-DSS et/ou de
Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 17
Copyright 2010 PCI Security Standards Council LLC Octobre 2010Vous pouvez aussi lire
