Payment Application Data Security Standard - Payment Card Industry (PCI) Conditions et procédures d'évaluation de sécurité
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Payment Card Industry (PCI) Payment Application Data Security Standard Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2008
Modifications apportées au document Date Version Description Pages Harmonisation du contenu avec la nouvelle procédure PCI DSS v1.2 et implémentation des 1 Octobre 2008 1.2 changements mineurs notés depuis la v1.1 d'origine. Sous « Champ d'application de la norme PA-DSS », harmonisation du contenu sur le Guide du programme PA-DSS, v1.2.1, pour clarifier les applications auxquelles s'applique la norme PA- v, vi DSS . Juillet 2009 1.2.1 Dans Conditions de laboratoire 6, correction de l'orthographe de « OWASP » 30 Dans Attestation de conformité, partie 2a, mise à jour de la fonctionnalité des applications de paiement pour qu'elle soit cohérente avec les types d'application indiqués dans le Guide du 32, 33 programme PA-DSS, et clarification des procédures de revalidation annuelles dans la partie 3b Mise à jour et implémentation des changements mineurs depuis la version 1.2.1 et Octobre 2008 2.0 harmonisation avec la nouvelle procédure PCI DSS v2.0 Pour plus de détails, consulter « PA- DSS – Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS » Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 2 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Table des matières Modifications apportées au document ...................................................................................................................................................................... 2 Introduction ………………………………………………………………………………………………………………………………………………………...4 Objectif de ce document............................................................................................................................................................................................. 4 Relation entre PCI DSS et PA-DSS ........................................................................................................................................................................... 4 Champ d'application de la norme PA-DSS ................................................................................................................................................................ 5 Conditions d’application de la norme PA-DSS aux terminaux matériels ................................................................................................................... 7 Rôles et responsabilités ............................................................................................................................................................................................. 8 Guide de mise en œuvre de la norme PA-DSS ....................................................................................................................................................... 11 Exigences relatives aux PA-QSA ............................................................................................................................................................................. 11 Laboratoire de test.................................................................................................................................................................................................... 12 Informations relatives aux conditions d’application des normes PCI DSS ......................................................................................................... 13 Instructions et contenu du rapport de conformité ................................................................................................................................................. 15 Étapes de mise en conformité avec la norme PA-DSS .......................................................................................................................................... 17 Guide du programme de la norme PA-DSS............................................................................................................................................................. 17 Conditions et procédures d’évaluation de sécurité de la norme PA-DSS ........................................................................................................... 19 1. Ne pas conserver la totalité des données de bande magnétique, de code ou de valeur de vérification de carte (CAV2, CID, CVC2, CVV2), ou de bloc PIN .......................................................................................................................................................................................................... 19 2. Protéger les données de titulaire de carte stockées....................................................................................................................................... 24 3. Fournir des fonctions d'authentification sécurisées ........................................................................................................................................ 30 4. Enregistrer l'activité des applications de paiement ......................................................................................................................................... 35 5. Développer des applications de paiement sécurisées.................................................................................................................................... 38 6. Protéger les transmissions sans fil ................................................................................................................................................................. 42 7. Tester les applications de paiement pour gérer les vulnérabilités .................................................................................................................. 44 8. Permettre la mise en œuvre de réseaux sécurisés ........................................................................................................................................ 45 9. Les données de titulaire de carte ne doivent jamais être stockées sur un serveur connecté à Internet........................................................ 45 10. Permettre un accès à distance sécurisé à l'application de paiement ............................................................................................................. 46 11. Crypter le trafic sensible transitant par les réseaux publics............................................................................................................................ 50 12. Crypter tous les accès administratifs non-console ......................................................................................................................................... 51 13. Gérer la documentation fournissant des instructions et les programmes de formation pour les clients, les revendeurs et les intégrateurs. 51 Annexe A : Résumé du contenu du Guide de mise en œuvre de la norme PA-DSS ....................................................................................... 53 Annexe B : Confirmation de la configuration du laboratoire de test spécifique à l’évaluation de la norme PA-DSS.................................. 61 Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 3 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Introduction Objectif de ce document Ce document est destiné aux PA-QSA (Payment Application-Qualified Security Assessors, évaluateurs de sécurité qualifiés des applications de paiement) responsables de l'examen des applications de paiement, afin que les fournisseurs de logiciels puissent valider la conformité d'une application de paiement avec la norme PA-DSS (Payment Application Data Security Standard, ou norme de sécurité des données des applications de paiement PCI DSS). Ce document doit également être utilisé par les évaluateurs PA-QSA comme modèle pour l'élaboration du rapport de conformité. Des ressources supplémentaires comprenant les attestations de conformité, la foire aux questions (FAQ) et le glossaire des termes, abréviations, et acronymes PCI DSS et PA-DSS sont disponibles sur le site Web du PCI Security Standards Council (PCI SSC) –www.pcisecuritystandards.org. Relation entre PCI DSS et PA-DSS L'utilisation d'une application, conforme à la norme PA-DSS en elle-même, n'en fait pas une entité conforme aux normes PCI DSS, car elle doit être mise en œuvre dans un environnement respectant ces normes, conformément au Guide de mise en œuvre de la norme PA-DSS remis par le fournisseur d'applications de paiement (d'après l'exigence 13.1 de la norme PA-DSS). Les exigences de la norme PA-DSS sont issues des conditions et procédures d’évaluation de sécurité des normes PCI DSS. Ce document, disponible sur le site www.pcisecuritystandards.org, décrit ce qui doit être conforme aux normes PCI DSS (et, par conséquent, ce que doit prendre en charge une application de paiement pour assurer la conformité du client avec les normes PCI DSS). La conformité conventionnelle avec la norme PCI DSS peut ne pas s'appliquer directement aux fournisseurs d'applications de paiement car la plupart des fournisseurs ne stockent, ne traitent et ne transmettent pas de données de titulaire de carte. Cependant, étant donné que ces applications de paiement sont utilisées par les clients pour stocker, traiter et transmettre des données de titulaire de carte, et que les clients sont dans l'obligation de respecter les normes PCI DSS, les applications de paiement doivent permettre au client (et non l'empêcher) de se conformer aux normes PCI DSS. Voici quelques exemples de la façon dont les applications de paiement peuvent compromettre la conformité : 1. Stockage des données de bande magnétique et/ou équivalent sur la puce sur le réseau du client après autorisation. 2. Applications exigeant que les clients désactivent d'autres fonctions requises par la norme PCI DSS, comme les programmes antivirus ou les pare-feu, afin que l'application de paiement fonctionne correctement. 3. Utilisation par les fournisseurs de méthodes non sécurisées pour se connecter à l'application lors d'une intervention d'assistance au client. Les applications de paiement sécurisées, lorsqu'elles sont mises en œuvre dans un environnement conforme aux normes PCI DSS, réduisent autant que possible le risque que des failles de la sécurité compromettent les données de bande magnétique, les codes et valeurs de validation de carte (CAV2, CID, CVC2, CVV2), les codes et les blocs PIN, ainsi que la fraude résultant de ces failles. Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 4 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Champ d'application de la norme PA-DSS La norme PA-DSS s'applique aux fournisseurs de logiciels et autres qui développent des applications de paiement stockant, traitant ou transmettant des données de titulaire de carte dans le cadre d'une autorisation ou d'un règlement, lorsque ces applications de paiement sont vendues, distribuées ou cédées sous licence à des tiers. Le guide suivant peut être utilisé pour déterminer si la norme PA-DSS s'applique à une application de paiement donnée. La norme PA-DSS s'applique aux applications de paiement généralement vendues et installées « prêtes à Remarque : l'emploi », sans modification de la part des fournisseurs de logiciels. Les produits validés La norme PA-DSS concerne les applications de paiement fournies en modules, habituellement composés d'application de paiement d'un module de base et d'autres modules spécifiques aux types de clients ou fonctions, ou personnalisés à ne peuvent en aucun cas la demande du client. Il se peut que la norme PA-DSS s'applique uniquement au module de base si ce être des versions bêta. dernier est le seul à exécuter des fonctions de paiement (après confirmation par un PA-QSA). Si d'autres modules réalisent des fonctions de paiement, la norme PA-DSS s'applique également à ces modules. Noter que, pour les fournisseurs de logiciels, l'isolement des fonctions de paiement sur un seul ou sur quelques modules de base (en réservant les autres modules pour des fonctions autres que le paiement) constitue une « meilleure pratique ». Cette meilleure pratique (bien qu'elle ne constitue pas une condition) peut limiter le nombre de modules soumis à la norme PA-DSS. La norme PA-DSS NE concerne PAS les applications de paiement proposées par des fournisseurs d'applications et de services en tant que service seulement (à moins que de telles applications ne soient également vendues, cédées sous licence ou distribuées à des tiers) car : 1) L'application constitue un service proposé à des clients (généralement des commerçants) et ceux-ci n'ont pas la capacité de gérer, installer ou contrôler l'application ou son environnement. 2) L'application est couverte par son évaluation PCI DSS ou celle du prestataire de services (cette couverture doit être confirmée par le client). 3) Et/ou l'application n'est pas vendue, distribuée ni cédée sous licence à des tiers. Les exemples d'applications de paiement du type « logiciel en tant que service » comprennent entre autres : 1) Celles offertes par les prestataires de service d'application (ASP) qui hébergent des applications de paiement sur leur site et les mettent à la disposition de leurs clients. Notez que la norme PA-DSS s'appliquerait cependant, si l'application de paiement de l'ASP était également vendue ou mise en œuvre sur le site d'un tiers, et n'était pas couverte par l'évaluation PCI DSS de l'ASP. 2) Les applications sur terminal virtuel qui résident sur le site d'un prestataire de services et sont utilisées par des commerçants pour saisir leurs transactions de paiement. Notez que la norme PA-DSS s'appliquerait si l'application sur terminal virtuel comportait une portion distribuée ou implémentée sur le site d'un commerçant, et si elle n'était pas couverte par l'évaluation PCI DSS du fournisseur du terminal virtuel. La PA-DSS ne s'applique PAS aux applications de non paiement faisant partie d'une suite d'applications de paiement. Ces applications (par exemple, une application de contrôle, de détection ou d'enregistrement des fraudes, intégrée à une suite logicielle) peuvent être, mais ce n'est pas une obligation, couvertes par la norme PA-DSS si la totalité de la suite logicielle fait l'objet d'une évaluation. Toutefois, si Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 5 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
l'application de paiement fait partie d'une suite dont la conformité dépend de celles des autres applications de la suite aux conditions PA- DSS, une seule évaluation PA-DSS doit être effectuée pour l'application de paiement concernée et toutes les autres applications de la suite dont elle dépend. Ces applications ne doivent pas être évaluées séparément des autres applications dont elles dépendent puisque les exigences PA-DSS ne sont pas remplies par une seule application.{ut} La norme PA-DSS NE s'applique PAS à une application de paiement développée pour un seul client et vendue à celui-ci, puisque cette application sera couverte dans le cadre de l'examen de conformité PCI DSS normal du client. Noter que ce type d'application (que l'on peut qualifier d'application « sur mesure ») est vendue à un seul client (en général un commerçant ou un prestataire de services important) et elle est conçue et développée selon les spécifications du client. La norme PA-DSS NE s'applique PAS aux applications de paiement développées par des commerçants et des prestataires de services si elles sont utilisées en interne uniquement (ni vendues, ni distribuées ni cédées sous licence à un tiers), puisque de telles applications de paiement seraient couvertes par la conformité normale du prestataire de services/commerçant aux normes PCI DSS. Par exemple, concernant ces deux derniers points, le fait que l'application de paiement développée en interne ou sur mesure stocke des données d'authentification sensibles interdites ou autorise des mots de passe complexes serait couvert dans le cadre de la conformité normale du commerçant ou du prestataire de services aux normes PCI DSS et ne nécessiterait pas d'évaluation PA-DSS distincte. La liste non exhaustive suivante fournit des exemples d'applications AUTRES que des applications de paiement pour les besoins de la PA-DSS (et qui, par conséquent, n'ont pas besoin d'être soumises aux examens PA-DSS) : les systèmes d'exploitation sur lesquels une application de paiement est installée (par exemple, Remarque : le PCI SSC répertorie Windows, Unix) ; UNIQUEMENT les applications de les systèmes de base de données stockant des données de titulaire de carte (par exemple, paiement. Oracle) ; les systèmes de back office stockant les données de titulaire de carte (par exemple, pour les besoins de reporting ou du service client). Le champ d'application de la vérification PA-DSS doit comprendre les points suivants : Couverture de toutes les fonctions d'application de paiement, y compris sans s'y limiter 1) les fonctions de paiement complètes (autorisation et règlement), 2) les entrées et les sorties, 3) les conditions d'erreur, 4) les interfaces et les connexions à d'autres fichiers, systèmes et/ou à des applications de paiement ou à des composants d'application, 5) tous les flux de données de titulaire de carte, 6) les dispositifs de cryptage et 7) les dispositifs d'authentification. Assistance que le fournisseur de l'application de paiement est tenu de proposer aux clients et aux revendeurs/intégrateurs (voir le Guide de mise en œuvre de la norme PA-DSS ci-après) pour s'assurer que 1) le client sait comment mettre en œuvre l'application de paiement conformément aux normes PCI DSS et que 2) le client est clairement informé que certains paramètres des applications et environnements de paiement peuvent compromettre la conformité avec les normes PCI DSS. Noter que le fournisseur de l'application de paiement peut être tenu de fournir ces directives, même lorsque le paramètre concerné 1) ne peut pas être contrôlé par le fournisseur une fois l'application installée par le client ou 2) dépend de la responsabilité du client, et non du fournisseur de l'application de paiement. Couverture de toutes les plates-formes sélectionnées pour la version révisée de l'application de paiement (les plates-formes incluses doivent être indiquées). Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 6 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Couverture des outils utilisés par ou au sein d'une application de paiement pour accéder et/ou consulter des données de titulaire de carte (outils de reporting, de journalisation, etc.). Conditions d’application de la norme PA-DSS aux terminaux matériels Les applications de paiement conçues pour fonctionner sur des terminaux matériels (également appelés terminaux de point de vente autonomes ou réservés) peuvent subir une vérification si le fournisseur souhaite obtenir une validation et s'il est possible de remplir les conditions de conformité à la norme PA-DSS. Les besoins des entreprises et les obligations de conformité sont des exemples de raisons pour lesquelles un fournisseur pourrait souhaiter une validation PA-DSS pour une application de paiement sur un terminal matériel. Ce chapitre donne des directives aux fournisseurs qui souhaitent obtenir une validation PA-DSS pour les applications de paiement résidentes sur des terminaux matériels. Une application de paiement résidente sur un terminal matériel peut obtenir la validation PA-DSS de deux manières : 1. L'application de paiement résidente remplit directement les conditions PA-DSS et est validée selon les procédures PA-DSS standards. 2. L'application de paiement résidente ne remplit pas toutes les exigences PA-DSS, mais le matériel sur lequel l'application réside est répertorié sur la liste des dispositifs PTS (PIN Transaction Security – sécurité de transaction PIN) agréés par le PCI SSC comme un dispositif POI (Point of Interaction – point d'interaction) agréé selon les normes PCI PTS. Dans ce cas, une application peut remplir les conditions PA-DSS par le biais d'une combinaison de contrôles PA-DSS et PTS validés. Le reste de ce chapitre concerne uniquement les applications de paiement qui résident sur un dispositif POI agréé selon les normes PCI PTS. Si une ou plusieurs conditions PA-DSS ne sont pas remplies directement par l'application de paiement, elles peuvent l'être indirectement par des contrôles testés dans le cadre de la validation PCI PTS. Pour être intégré à une évaluation PA-DSS, le dispositif matériel DOIT être validé comme dispositif POI agréé selon les normes PCI PTS et figurer sur la liste des dispositifs PTS agréés du PCI SSC. Le dispositif POI validé PTS, qui assure un environnement informatique fiable, deviendra une « dépendance requise » de l'application de paiement, et la combinaison de l'application et du matériel figurera sur la liste PA-DSS des applications de paiement validées. Lors de l'évaluation PA-DSS, l'évaluateur PA-QSA doit tester à fond l'application de paiement et son matériel dépendant en fonction de toutes les conditions PA-DSS. Si l'évaluateur PA-QSA estime qu'une ou plusieurs conditions PA-DSS ne sont pas remplies par l'application de paiement résidente, mais qu'elles le sont par les contrôles validés aux termes des normes PCI PTS, l'évaluateur PA-QSA doit : 1. Indiquer clairement les conditions remplies aux termes de la norme PA-DSS (de la manière habituelle); 2. Indiquer clairement quelle condition a été remplie aux termes des normes PCI PTS dans la case « En place » concernée. 3. Donner l'explication détaillée des raisons pour lesquelles l'application de paiement ne remplit pas les conditions PA-DSS. 4. Documenter les procédures exécutées afin de déterminer comment cette condition a été pleinement remplie par un contrôle validé PCI PTS. 5. Répertorier le terminal matériel validé PCI PTS comme dépendance requise dans le résumé du rapport validant la conformité. Une fois la validation de l'application de paiement terminée par le PA-QSA et acceptée par le PCI SSC, le dispositif matériel validé PTS sera répertorié comme une dépendance de l'application de paiement sur la liste PA-DSS des applications validées. Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 7 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Les applications de paiement résidant sur des terminaux matériels, validées à travers une combinaison de contrôles PA-DSS et PCI PTS, doivent répondre aux critères suivants : 1. Être fournies ensemble au client (le terminal matériel et l'application), OU, si elles sont fournies séparément, le fournisseur d'applications et/ou le revendeur/intégrateur doit conditionner l'application en vue de sa distribution de sorte qu'elle fonctionne uniquement sur le terminal matériel sur lequel elle a été validée. 2. Être activées par défaut pour garantir la conformité PCI DSS du client. 3. Comprendre une assistance et des mises à jour permanentes pour conserver la conformité PCI DSS. 4. Si l'application est vendue, distribuée ou cédée sous licence séparément aux clients, le fournisseur doit indiquer les spécifications du matériel dépendant requis à utiliser avec l'application, conformément à son référencement de validation PA-DSS. Rôles et responsabilités Il existe plusieurs parties prenantes au sein de la communauté des applications de paiement. Certaines de ces parties prenantes participent plus directement que d’autres au processus d’évaluation PA-DSS (fournisseurs, QSA et PCI SCC). D’autres, indirectement impliquées dans le processus d’évaluation, doivent avoir connaissance du processus global afin de faciliter les décisions professionnelles s’y rapportant. Les sections suivantes définissent les rôles et responsabilités des parties prenantes dans la communauté des applications de paiement. Les responsabilités associées au processus d’évaluation sont mentionnées pour les parties prenantes impliquées. Marques de cartes de paiement American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. sont les marques de cartes de paiement qui ont fondé le PCI SSC. Elles sont responsables du développement et de l'application de tous les programmes relatifs à la conformité à la norme PA-DSS, y compris des éléments suivants (liste non exhaustive) : conditions, mandat ou date pour l'utilisation des applications de paiement conformes à la norme PA-DSS ; amendes ou pénalités relatives à l'utilisation d'applications de paiement non conformes. Les marques de cartes de paiement peuvent définir des programmes de conformité, des mandats, des dates, etc., basés sur la norme PA-DSS et les applications de paiement conformes répertoriées par le PCI SSC. À travers ces programmes de conformité, les marques de cartes de paiement assurent la promotion des applications de paiement conformes répertoriées. Payment Card Industry Security Standards Council (PCI SSC) Le PCI SSC (Payment Card Industry Security Standards Council, conseil sur les normes de sécurité du secteur des cartes de paiement) est l'organisme de normalisation qui gère les normes du secteur des cartes de paiement, dont les normes PCI DSS et PA-DSS. En ce qui concerne la norme PA-DSS, le PCI SSC : regroupe et conserve les rapports de conformité PA-DSS ; réalise des analyses d’assurance qualité sur les rapports de conformité PA-DSS, afin d'en vérifier la cohérence et la qualité ; Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 8 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
dresse, sur le site Web, la liste des applications de paiement conformes à la norme PA-DSS ; assure la qualification et la formation des PA-QSA pour réaliser les vérifications PA-DSS ; conserve et met à jour la norme PA-DSS et la documentation connexe selon un processus de gestion du cycle de vie des normes. Noter que le PCI SSC ne valide pas la conformité des rapports. Le rôle des PA-QSA est de documenter la conformité de l’application de paiement à la norme PA-DSS, à la date de l’évaluation. Le PCI SSC réalise en outre une analyse d’assurance qualité afin de garantir que les PA-QSA ont documenté, d'une manière précise et complète, les évaluations PA-DSS. Fournisseurs de logiciels Les fournisseurs de logiciels (« les fournisseurs ») développent des applications de paiement qui stockent, traitent ou transmettent des données de titulaire de carte dans le cadre d'une autorisation ou d'un règlement, puis les vendent, les distribuent ou les cèdent sous licence à des tiers (clients ou revendeurs/intégrateurs). Responsabilités des fournisseurs : créer des applications de paiement conformes à la norme PA-DSS, qui permettent, plutôt qu’elles ne les empêchent, à leurs clients de se conformer aux normes PCI DSS (l'application ne peut pas imposer une implémentation ou un réglage de configuration enfreignant une exigence des normes PCI DSS) ; respecter les conditions des normes PCI DSS chaque fois que le fournisseur stocke, traite ou transmet des données de titulaire de carte (par exemple, lors du dépannage du client) ; créer un Guide de mise en œuvre de la norme PA-DSS, spécifique à chaque application de paiement, conformément aux conditions de ce document ; éduquer les clients, revendeurs et intégrateurs à l'installation et à la configuration des applications de paiement conformément aux normes PCI DSS ; garantir que les applications de paiement respectent les normes PA-DSS en passant avec succès une vérification PA-DSS comme l'indique ce document. PA-QSA Les PA-QSA sont des QSA (Qualified Security Assessors, évaluateurs de sécurité qualifiés) qualifiés et formés par le PCI SSC pour effectuer des vérifications PA-DSS. Responsabilités des PA-QSA : Remarque : les QSA ne sont réaliser des évaluations des applications de paiement conformément aux procédures d’évaluation de pas tous des PA-QSA ; un QSA sécurité et aux conditions de conformité des PA-QSA ; doit répondre à des exigences formuler un avis sur la conformité de l'application de paiement aux conditions de la norme PA-DSS ; de qualification supplémentaires pour devenir PA-QSA. fournir, dans le rapport de conformité, la documentation adéquate permettant de prouver la conformité de l’application de paiement à la norme PA-DSS ; transmettre le rapport de conformité au PCI SSC, accompagné de l’attestation de conformité (signée par le PA-QSA et par le fournisseur) ; Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 9 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
disposer d'un processus interne d’assurance qualité à l'appui des efforts de leurs PA-QSA. Il incombe aux PA-QSA de spécifier si l’application de paiement est conforme. Le PCI SSC ne valide pas les rapports de conformité du point de vue de la conformité technique, mais les soumettent à des analyses d’assurance qualité, afin de garantir que la preuve de la conformité y est correctement documentée. Revendeurs et intégrateurs Les revendeurs et les intégrateurs sont ceux qui vendent, installent et/ou interviennent sur les applications de paiement au nom de fournisseurs de logiciels ou autres. Responsabilités des revendeurs et des intégrateurs : mettre en œuvre une application de paiement selon la norme PA-DSS dans un environnement conforme aux normes PCI DSS (ou indiquer au commerçant de le faire) ; configurer l'application de paiement (lorsque des options de configuration sont fournies) selon le Guide de mise en œuvre de la norme PA-DSS remis par le fournisseur ; configurer l'application de paiement (ou indiquer au commerçant de le faire) conformément aux normes PCI DSS ; intervenir sur les applications de paiement (par exemple, dépannage, mise à disposition de mises à jour et assistance à distance) conformément au Guide de mise en œuvre de la norme PA-DSS et aux normes PCI DSS. Les revendeurs et les intégrateurs ne soumettent pas les applications de paiement à des évaluations. Seul le fournisseur peut soumettre des produits à évaluation. Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 10 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Clients Les clients sont les commerçants, fournisseurs de services et autres qui achètent ou reçoivent une application de Remarque : une application paiement d'un tiers, pour stocker, traiter ou transmettre des données de titulaire de carte dans le cadre de de paiement conforme à la l'autorisation ou du règlement de transactions de paiement. Responsabilités des clients voulant utiliser des norme PA-DSS seule ne applications conformes à la norme PA-DSS : garantit pas la conformité mettre en œuvre une application de paiement conforme à la norme PA-DSS dans un environnement aux normes PCI DSS. conforme aux normes PCI DSS ; configurer l'application de paiement (lorsque des options de configuration sont fournies) selon le Guide de mise en œuvre de la norme PA-DSS remis par le fournisseur ; configurer l'application de paiement conformément aux normes PCI DSS ; conserver leur statut de conformité aux normes PCI DSS pour la configuration de l'environnement et de l'application de paiement. Guide de mise en œuvre de la norme PA-DSS Les applications de paiement validées doivent pouvoir être mises en œuvre en respectant les normes PCI DSS. Les fournisseurs de logiciels sont dans l'obligation de fournir un Guide de mise en œuvre de la norme PA-DSS pour informer leurs clients et les revendeurs/intégrateurs sur la mise en œuvre sécurisée des produits, pour documenter les spécifications d'une configuration sécurisée, mentionnées tout au long de ce document, et pour indiquer clairement les responsabilités des fournisseurs, des revendeurs/intégrateurs ainsi que celles des clients afin de remplir les conditions des normes PCI DSS. Ce guide doit détailler la façon dont le client et/ou le revendeur/l'intégrateur doivent activer les réglages de sécurité au sein du réseau du client. Par exemple, le Guide de mise en œuvre de la norme PA-DSS doit indiquer les responsabilités et les caractéristiques fondamentales de la sécurité PCI DSS par mot de passe, même si cela n'est pas contrôlé par l'application de paiement, de façon à ce que le client ou le revendeur/l'intégrateur comprenne comment mettre en œuvre des mots de passe sécurisés dans le respect des normes PCI DSS. Les applications de paiement, lorsqu'elles sont mises en œuvre conformément au Guide de mise en œuvre de la norme PA-DSS dans un environnement respectant les normes PCI DSS, doivent permettre et soutenir la conformité des clients aux normes PCI DSS. Se reporter à l'Annexe A : Résumé du contenu du Guide de mise en œuvre de la norme PA-DSS, pour comparer les responsabilités de la mise en œuvre des contrôles spécifiés dans ce guide. Exigences relatives aux PA-QSA Seuls les PA-QSA (Payment Application Qualified Security Assessors, évaluateurs de sécurité qualifiés des applications de paiement) employés par les sociétés QSA (Qualified Security Assessor, évaluateur de sécurité qualifié) sont autorisés à réaliser des évaluations PA-DSS. Consulter le site www.pcisecuritystandards.org afin d'avoir la liste des sociétés QSA qualifiées pour mener ces évaluations. Le PA-QSA doit utiliser les procédures de test documentées dans ce document sur la norme PA-DSS. Le PA-QSA doit avoir accès au laboratoire où le processus de validation est censé avoir lieu. Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 11 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Laboratoire de test Les laboratoires de test peuvent exister soit sur le site du PA-QSA soit sur celui du fournisseur du logiciel. Ce laboratoire doit permettre de simuler une utilisation en conditions réelles de l'application de paiement. Le PA-QSA doit valider l'installation appropriée du laboratoire afin de garantir que celui-ci simule vraiment une situation en conditions réelles et que le fournisseur ne l'a pas modifié ni altéré d'aucune façon. Se reporter à l'Annexe B : Confirmation de la configuration du laboratoire de test spécifique à l’évaluation de la norme PA-DSS de ce document, pour connaître les conditions détaillées applicables au laboratoire et aux processus de laboratoire associés. Le PA-QSA doit compléter l'Annexe B et la renvoyer. Il doit la compléter pour le laboratoire spécifique utilisé pour l'application de paiement examinée. Cette annexe fait partie du rapport PA-DSS complet. Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 12 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Informations relatives aux conditions d’application des normes PCI DSS (Extrait de PCI DSS) La norme de sécurité des données du secteur des cartes de paiement (PCI DSS) s'applique partout où des données de compte sont stockées, traitées ou transmises. Les données de compte regroupent les données du titulaire de carte plus les données d'authentification sensibles, indiquées ci-dessous. Les données du titulaire de carte Les données d'authentification sensibles comprennent : comprennent : Numéro de compte primaire (PAN) Données de bande magnétique complètes ou leur équivalent sur une Nom du titulaire de la carte puce Date d'expiration CAV2/CVC2/CVV2/CID Code service Codes/blocs PIN Le PAN (Primary Account Number, numéro de compte primaire) est le facteur de définition de l'applicabilité des conditions PCI DSS et de la norme PA-DSS. Les conditions PCI DSS sont applicables si un PAN est stocké, traité ou transmis. Si le PAN n'est pas stocké, traité ni transmis, les normes PCI DSS et PA-DSS ne s'appliquent pas. Si le nom du titulaire de carte, le code de service, et/ou la date d'expiration sont stockés, traités ou transmis avec le PAN, ou existent d'une façon ou d'une autre dans l'environnement des données du titulaire de carte, ils doivent être protégés conformément à toutes les conditions PCI DSS sauf les conditions 3.3 et 3.4, qui s'appliquent uniquement au PAN. Le PCI DSS représente un ensemble minimum d'objectifs de contrôle qui peut être renforcé par des lois et règlements locaux, régionaux ou sectoriels. En outre, la législation ou la réglementation peuvent exiger une protection spécifique des informations personnelles identifiables ou d'autres éléments de données (par exemple, le nom du titulaire de carte), ou définir les pratiques de divulgation d'une entité, relatives aux informations concernant le consommateur. La législation relative à la protection des données des consommateurs, à la confidentialité, au vol d'identité, ou à la sécurité des données en est un exemple. Le PCI DSS ne supplante pas les lois locales ou régionales, réglementations gouvernementales ou autres obligations légales. Le tableau ci-dessous provenant des normes PCI DSS présente un certain nombre d’éléments communément utilisés des données de titulaire de carte et d’authentification sensibles, indique si le stockage de chaque élément de données est autorisé ou interdit, et précise si chaque élément de données doit être ou non protégé. Ce tableau n'est pas exhaustif, mais est présenté de manière à illustrer les différentes conditions qui s'appliquent à chaque élément de données. Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 13 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Stockage Rendre illisibles les Élément de données autorisé données de compte stockées selon la condition 3.4 de la norme PCI DSS Numéro de compte primaire Oui Oui (PAN) Données du titulaire de la Nom du titulaire de la carte Oui Non Données de compte carte Code service Oui Non Date d'expiration Oui Non Données complètes de la bande Stockage interdit selon 2 Non magnétique condition 3.2 Données Stockage interdit selon d'authentification CAV2/CVC2/CVV2/CID Non 1 condition 3.2 sensibles Stockage interdit selon Code/bloc PIN Non condition 3.2 Les conditions 3.3 et 3.4 de la norme PCI DSS ne s'appliquent qu'au PAN. Si le PAN est stocké avec d'autres données du titulaire de carte, seul le PAN doit être rendu illisible selon la condition 3.4 de la norme PCI DSS. Les normes PCI DSS s'appliquent uniquement si les PAN sont stockés, traités et/ou transmis. 1 Une fois le processus d’autorisation terminé, les données d'authentification sensibles ne doivent plus être stockées (même si elles sont cryptées). 2 Données de piste complètes extraites de la bande magnétique, données équivalentes de la puce, ou d'un autre support. Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 14 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Instructions et contenu du rapport de conformité Ce document sera utilisé par les PA-QSA comme modèle pour l'élaboration de leur rapport de conformité. Tous les évaluateurs PA-QSA doivent suivre les instructions de contenu et de mise en forme indiquées ici lorsqu'ils remplissent le rapport de conformité. Le rapport de conformité doit comprendre les informations suivantes en préface des conditions et procédures d’évaluation de sécurité détaillées : 1. Description du champ d'application de la vérification Description du champ d'application des éléments à couvrir lors de la vérification, conformément au paragraphe sur le champ d'application de la norme PA-DSS ci-dessus Calendrier de validation Version PA-DSS utilisée lors de l’évaluation Liste de la documentation vérifiée 2. Résumé Indiquer les éléments suivants : nom du produit ; version du produit et plates-formes associées couvertes ; liste des revendeurs et/ou des intégrateurs de ce produit ; système(s) d'exploitation avec lesquels l'application de paiement a été testée ; logiciel de base de données utilisé ou pris en charge par l'application de paiement ; brève description de l'application de paiement/la famille de produits (en 2 ou 3 phrases) ; schéma de réseau d'une mise en œuvre type de l'application de paiement (pas nécessairement une mise en œuvre spécifique sur le site d'un client) comprenant, à un haut niveau : - les connexions internes et externes à un réseau de client, - les composants au sein du réseau du client, notamment les dispositifs de point de vente, les bases de données et les serveurs Web, le cas échéant, - les autres applications de paiement/composants nécessaires, le cas échéant. description ou schéma de chaque élément de la liaison de communication, notamment dans le cas (1) de connexions LAN, WAN ou Internet, (2) d'une communication logicielle hôte à hôte et (3) d'un hôte sur lequel des logiciels sont déployés (par exemple, comment deux processus différents communiquent l'un avec l'autre sur le même hôte) ; schéma de flux des données illustrant tous les flux de données de titulaire de carte, y compris l'autorisation, la capture, le règlement et rejet de débit, le cas échéant ; Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 15 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
brève description des fichiers et des tables stockant les données de titulaire de carte, étayée par un inventaire créé (ou obtenu auprès du fournisseur du logiciel) et conservé par le PA-QSA dans les documents de travail, cet inventaire devant comprendre pour chaque stockage de données de titulaire de carte (fichier, table, etc.) : - la liste de tous les éléments de données de titulaire de carte stockés, - la méthode de sécurisation du stockage de données, - la méthode de journalisation de l'accès au stockage de données. liste de tous les composants logiciels relatifs à l'application de paiement, y compris les exigences et les dépendances des logiciels tiers ; description des méthodes d'authentification complète de l'application de paiement, notamment le mécanisme d'authentification de l'application, la base de données d'authentification et la sécurité du stockage de données ; description du rôle de l'application de paiement dans une mise en œuvre type et les autres types d'applications de paiement nécessaires pour une mise en œuvre complète du paiement ; description du client type auquel ce produit est vendu (par exemple, PME, spécifique ou non d'un Remarque : Annexe B : secteur, Internet, artisan) et base de clients du fournisseur (par exemple, segment de marché, nom Confirmation de la des grandes entreprises clientes) ; configuration du définition de la méthodologie de gestion des versions du fournisseur afin de décrire/d'illustrer la façon laboratoire de test dont le fournisseur indique les changements de version majeurs et mineurs à l'aide des numéros de spécifique à l’évaluation version, et pour déterminer les types de changements que le fournisseur y inclut. de la norme PA-DSS doit également être remplie et 3. Conclusions et observations envoyée avec le rapport Tous les évaluateurs PA-QSA doivent utiliser le modèle suivant pour présenter des descriptions et PA-DSS complété. conclusions détaillées dans le cadre du rapport. Décrire les tests réalisés autres que ceux inclus dans la colonne Procédures de test. Si l'évaluateur estime qu'une condition ne s'applique pas à une application de paiement donnée, il doit en donner l'explication dans la colonne « En place » concernée. 4. Coordonnées et date du rapport Coordonnées du fournisseur du logiciel (y compris URL, numéro de téléphone et adresse électronique) Coordonnées de l'évaluateur PA-QSA (y compris nom, URL, numéro de téléphone et adresse électronique) Coordonnées du principal contact de l'assurance qualité (AQ) du PA-QSA (y compris nom, numéro de téléphone et adresse électronique du contact principal AQ) Date du rapport Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 16 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Étapes de mise en conformité avec la norme PA-DSS Ce document contient le tableau des conditions et procédures d’évaluation de sécurité, ainsi que l'Annexe B : Confirmation de la configuration du laboratoire de test spécifique à l’évaluation de la norme PA-DSS. Le document Conditions et procédures d’évaluation de sécurité détaille les procédures que le PA-QSA doit réaliser. L'Annexe B : Confirmation de la configuration du laboratoire de test spécifique à l’évaluation de la norme PA-DSS doit être complétée par le PA-QSA pour confirmer l'état et les fonctionnalités du laboratoire de test utilisé pour mener cette évaluation PA-DSS. Le PA-QSA doit effectuer les étapes suivantes : 1. Remplir le rapport de conformité en utilisant ce document comme modèle : a. Compléter la préface du rapport de conformité, en respectant la section intitulée « Instructions et contenu du rapport de conformité ». b. Compléter et documenter toutes les étapes détaillées dans les conditions et procédures d’évaluation de sécurité, notamment décrire brièvement les contrôles observés dans la colonne « En place » et apporter des commentaires éventuels. Noter qu'un rapport contenant des éléments « Pas en place » ne doit pas être transmis au PCI SSC tant que ceux-ci n'ont pas été reconnus « En place ». 2. Compléter l'Annexe B : Confirmation de la configuration du laboratoire de test spécifique à l’évaluation de la norme PA-DSS. 3. Remplir et signer une attestation de conformité (à la fois par le PA-QSA et par le fournisseur du logiciel). L'attestation de conformité est disponible sur le site Web du PCI SSC (www.pcisecuritystandards.org). 4. Après les avoir remplis, soumettre tous les documents ci-dessus au PCI SSC conformément au Guide du programme de la norme PA- DSS. Guide du programme de la norme PA-DSS Se reporter au Guide du programme de la norme PA-DSS pour les informations sur la gestion du programme PA-DSS, notamment sur les points suivants : processus de transmission et d'acceptation du rapport PA-DSS ; processus de renouvellement annuel pour les applications de paiement comprises dans la liste des applications conformes à la norme PA-DSS ; migration des applications conformes au programme PABP vers la liste des applications de paiement conformes à la norme PA-DSS ; notification des responsabilités dans le cas où une application de paiement répertoriée serait mise en cause dans un compromis. Le PCI SSC se réserve le droit d'exiger une revalidation en cas de changements importants de la PA-DSS et/ou de Conditions et procédures d’évaluation de sécurité de la norme PCI PA-DSS, v2.0 Page 17 Copyright 2010 PCI Security Standards Council LLC Octobre 2010
Vous pouvez aussi lire