Rôles et responsabilités. PCI PA-DSS

Vous trouverez ci-dessous de brèves informations sur les applications de paiement. Ce guide du programme PCI PA-DSS v. 1.2 illustre l'harmonisation des exigences des marques de cartes de paiement, combinées pour former un ensemble normalisé d'exigences de sécurité et de procédures d'évaluation des applications de paiement.

PDF Télécharger

Document

Rôles et responsabilités

Il existe plusieurs parties prenantes au sein de la communauté des applications de paiement. Certaines de ces parties prenantes participent plus directement que d’autres au processus d’évaluation PA-DSS

(fournisseurs, QSA et PCI SCC). D’autres, non directement impliquées dans le processus d’évaluation, doivent avoir connaissance du processus global afin de faciliter les décisions professionnelles s’y rapportant.

Les sections suivantes définissent les rôles et responsabilités des parties prenantes dans la communauté des applications de paiement. Les responsabilités associées au processus d’évaluation sont mentionnées pour les parties prenantes impliquées.

Marques de cartes de paiement

American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. sont les marques de cartes de paiement qui ont fondé le PCI SSC. Elles sont responsables du développement et de l'application de tous les programmes relatifs à la conformité avec la norme PA-DSS, y compris des éléments suivants (liste non exhaustive) :

toute exigence, mandat ou date pour l'utilisation des applications de paiement conformes à la norme PA-DSS ;

toute amende ou pénalité relative à l'utilisation d'applications de paiement non conformes.

Les marques de cartes de paiement peuvent définir des programmes de conformité, des mandats, des dates, etc., basés sur la norme PA-DSS et les applications de paiement conformes listées par le PCI

SSC. Via ces programmes de conformité, les marques de cartes de paiement font la promotion des applications de paiement conformes listées.

Payment Card Industry Security Standards Council (PCI SSC)

Le PCI SSC (Payment Card Industry Security Standards Council, conseil sur les normes de sécurité du secteur des cartes de paiement) est l'organisme de normalisation qui gère les normes du secteur des cartes de paiement, dont les normes PCI DSS et PA-DSS. En ce qui concerne la norme PA-DSS, le PCI SSC :

constitue un site de stockage centralisé pour les Rapports sur la conformité PA-DSS ;

réalise des analyses d’assurance qualité sur les Rapports sur la conformité PA-DSS, afin de vérifier la cohérence et la qualité des rapports ;

dresse sur le site Web la liste des applications de paiement conformes à la norme PA-DSS (cette

liste ne sera pas disponible avant octobre 2008) ;

assure la qualification et la formation des PA-QSA pour réaliser des vérifications PA-DSS ;

gère et met à jour la norme PA-DSS et la documentation connexe selon un processus de gestion du cycle de vie des normes.

Remarque : Le PCI SSC ne valide pas la conformité des rapports. Le rôle des PA-QSA est de documenter la conformité de l’application de paiement à la norme PA-DSS, à la date de l’évaluation. Le

PCI SSC réalise en outre une analyse d’assurance qualité afin de garantir une documentation précise et complète par les PA-QSA des évaluations PA-DSS.

Guide du programme PCI PA-DSS v. 1.2

Octobre 2008

Page 5

Fournisseurs de logiciels

Les fournisseurs de logiciels (ci-après dénommés « les fournisseurs ») développent les applications de paiement qui stockent, traitent ou transmettent des données de titulaire de carte dans le cadre d'une autorisation ou d'un règlement, puis vendent, distribuent ou cèdent sous licence ces applications de paiement à des parties tierces (clients ou revendeurs/intégrateurs). Responsabilités des fournisseurs :

Créer des applications de paiement conformes à la norme PA-DSS qui permettent, et n'empêchent pas, la conformité avec les normes PCI DSS de leurs clients. (L'application ne peut pas imposer un paramètre de mise en œuvre ou de configuration enfreignant une exigence des normes PCI DSS.) ;

respecter les exigences des normes PCI DSS chaque fois que le fournisseur stocke, traite ou transmet des données de titulaire de carte (par exemple, lors du dépannage du client) ; conformément aux exigences de la Norme de sécurité des données des applications de paiement

(PA-DSS) ;

former les clients, les revendeurs et les intégrateurs pour l'installation et la configuration des applications de paiement conformément aux normes PCI DSS ;

s'assurer que les applications de paiement répondent aux exigences de la norme PA-DSS en procédant à une vérification de conformité PA-DSS, conformément aux spécifications des

Exigences et procédures d'évaluation de conformité PCI PA-DSS.

Les fournisseurs transmettent leurs applications de paiement et la documentation connexe au PA-QSA, pour vérification. Tous les accords et les coûts associés à l'évaluation sont négociés entre le fournisseur et le PA-QSA. Les fournisseurs autorisent leur PA-QSA à transmettre au PCI SSC les rapports de conformité PA-DSS générés.

PA-QSA

Les PA-QSA sont des QSA (Qualified Security Assessors, évaluateurs de sécurité qualifiés) qualifiés et formés par le PCI SSC pour effectuer des vérifications PA-DSS. Remarque : Tous les QSA ne sont pas

des PA-QSA ; un QSA doit répondre à des exigences de qualification supplémentaires pour accéder au statut de PA-QSA.

Responsabilités des PA-QSA :

réaliser des évaluations des applications de paiement conformément aux procédures d’évaluation de sécurité et aux exigences de conformité des PA-QSA ;

formuler un avis sur la conformité de l'application de paiement aux exigences de la norme PA-DSS ;

fournir dans le Rapport sur la conformité la documentation adéquate permettant de prouver la conformité de l’application de paiement à la norme PA-DSS ;

transmettre le Rapport sur la conformité au PCI SSC, accompagné de l’attestation de conformité

(signée par le PA-QSA et par le fournisseur) ;

gérer un processus interne d’assurance qualité appliqué à leurs tâches de PA-QSA.

Il appartient aux PA-QSA de spécifier si oui ou non l’application de paiement est conforme. Le PCI SSC ne valide pas les Rapports sur la conformité au niveau de la conformité technique, mais réalise sur ceuxci des analyses d’assurance qualité, afin de garantir que la preuve de la conformité est correctement documentée dans les rapports.

Guide du programme PCI PA-DSS v. 1.2

Octobre 2008

Page 6

Revendeurs et intégrateurs

Les revendeurs et les intégrateurs sont les entités qui vendent, installent et/ou interviennent sur les applications de paiement au nom des fournisseurs de logiciels ou autres. Les revendeurs et intégrateurs assurant des services associés à des applications de paiement conformes à la norme PA-DSS sont chargés de :

mettre en œuvre uniquement des applications de paiement conformes à la norme PA-DSS dans un environnement conforme aux normes PCI DSS (ou indiquer au commerçant de procéder de la sorte) ;

configurer ces applications de paiement (lorsque des options de configuration sont fournies) selon le Guide de mise en œuvre de la norme PA-DSS remis par le fournisseur ;

configurer ces applications de paiement (ou indiquer au commerçant de procéder de la sorte) conformément aux normes PCI DSS ;

intervenir sur ces applications de paiement (par exemple, dépannage, mises à jour à distance et support distant) conformément au Guide de mise en œuvre de la norme PA-DSS et aux normes

PCI DSS.

Les revendeurs et les intégrateurs ne soumettent pas les applications de paiement à des évaluations.

Seul le fournisseur peut soumettre des produits à une évaluation.

Clients

Les clients sont les commerçants, les fournisseurs de services et autres qui achètent ou reçoivent une application de paiement pour stocker, traiter ou transmettre des données de titulaire de carte dans le cadre de l'autorisation ou du règlement des transactions de paiement. Les clients voulant utiliser des applications conformes à la norme PA-DSS sont chargés de :

Remarque :

Une application de paiement conforme à la norme PA-DSS seule ne garantit pas la conformité avec les normes PCI DSS.

mettre en œuvre d'une application de paiement selon la norme PA-DSS dans un environnement conforme aux normes PCI DSS ;

configurer l’application de paiement (lorsque des options de configuration sont fournies) selon le

Guide de mise en œuvre de la norme PA-DSS remis par le fournisseur ;

configurer l'application de paiement conformément aux normes PCI DSS ;

maintenir le statut de conformité aux normes PCI DSS pour la configuration de l'environnement et de l'application de paiement.

Lorsque la liste sera publiée par le PCI SSC, au deuxième semestre 2008, les clients pourront consulter sur le site Web la liste des applications de paiement conformes, ainsi que d’autres supports de référence.

Guide du programme PCI PA-DSS v. 1.2

Octobre 2008

Page 7

Caractéristiques clés

Harmonisation des exigences de sécurité pour les applications de paiement.
Processus d'identification des applications conformes.
Processus de migration des applications PABP vers la liste PA-DSS.
Processus d'assurance qualité pour les PA-QSA.

Questions fréquemment posées

La norme PA-DSS s'applique aux applications de paiement généralement vendues « prêtes à l'emploi » sans modification apportée par les fournisseurs de logiciels.

Les PA-QSA sont des QSA (Qualified Security Assessors, évaluateurs de sécurité qualifiés) qualifiés et formés par le PCI SSC pour effectuer des vérifications PA-DSS.

Les fournisseurs devront s’acquitter de frais d'inscription de 1 250 $ (environ 800 €) pour chaque application de paiement inscrite sur la liste des applications de paiement du PCI SSC.