Calendrier de vérification PA-DSS
Le temps nécessaire pour une vérification PA-DSS, depuis son lancement jusqu’à sa finalisation, générant une application totalement conforme avec tous ses éléments spécifiés comme « En place », peut varier dans des proportions considérables. Facteurs influant sur la durée nécessaire :
Degré d’adéquation de l’application à la norme PA-DSS au lancement de la vérification.
• Les corrections apportées à l’application de paiement en vue de parvenir à la conformité vont faire augmenter le temps nécessaire.
Degré de finalisation du Guide de mise en œuvre de la norme PA-DSS au lancement de la vérification.
• Les phases de réécriture intensives du Guide vont faire augmenter le temps nécessaire.
Préparation et transmission au PCI SSC par le PA-QSA d’un Rapport sur la conformité PA-DSS de haute qualité.
• Le temps nécessaire va augmenter si le PCI SSC vérifie le rapport plus d’une fois, en faisant des commentaires au PA-QSA qui doivent à chaque fois être pris en compte.
Tout calendrier de vérification fourni par un PA-QSA doit être considéré comme une estimation, car il peut être basé sur de simples hypothèses selon lesquelles l’application de paiement saura satisfaire rapidement à toutes les exigences de la norme PA-DSS. En cas de problèmes lors des processus de vérification ou d'acceptation, des entretiens entre le PA-QSA, le fournisseur de logiciels et/ou le PCI SSC seront nécessaires. Ces entretiens peuvent influer sur la durée de la vérification et entraîner des retards, et/ou ils peuvent même entraîner l’arrêt prématuré de la vérification (par exemple, si le fournisseur décide de ne pas apporter les changements nécessaires à l'application de paiement pour assurer sa conformité).
Évaluateurs de sécurité qualifiés des applications de paiement
Le PCI SSC assure la qualification et la formation des évaluateurs de sécurité qualifiés des applications de paiement (PA-QSA), pour qu’ils réalisent les évaluations PA-DSS. La liste des PA-QSA est disponible sur le site Web. Ces PA-QSA sont les seuls évaluateurs reconnus par le PCI SSC pour réaliser des
évaluations PA-DSS.
Les tarifs et frais facturés par les PA-QSA ne sont pas fixés par le PCI SSC ; ils sont librement négociés entre le PA-QSA et son client. Avant de choisir un PA-QSA, il est recommandé aux entités de s’entretenir avec plusieurs sociétés PA-QSA et de suivre le processus de sélection de fournisseurs de leur entreprise.
Services PA-DSS connexes pouvant être proposés par les PA-QSA
Aucun de ces services n’est exigé ni recommandé par le PCI SSC. Cette liste est fournie afin de donner des exemples des types de services pouvant être proposés par les PA-QSA. Si ces services présentent un intérêt pour votre entreprise, veuillez contacter les PA-QSA pour connaître leur disponibilité et leur prix. Exemples de services PA-DSS connexes :
Orientation pour la conception d’applications de paiement conformes à la norme PA-DSS.
Vérification du logiciel d’un fournisseur à sa phase de conception, réponse aux questions par e-mail et téléphone, participation à des téléconférences afin de clarifier les exigences.
Orientation pour la préparation du Guide de mise en œuvre de la norme PA-DSS.
Services de pré-évaluation (analyse des écarts) avant l’évaluation formelle PA-DSS.
Orientation pour la mise en conformité de l’application de paiement à la norme PA-DSS, si des
écarts ou des non-conformités sont constatés lors de l'évaluation.
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 10
