Migration et capitalisation d'applications de paiement conformes au programme PABP. PCI PA-DSS
Migration et capitalisation d'applications de paiement conformes au programme PABP
Capitalisation d’applications PABP sur la liste PABP d’ici le 15 octobre 2008
Le PCI SSC capitalise (transfère) les applications conformes au programme PABP existantes sur la liste du PCI SSC. Cette approche de capitalisation permet aux applications précédemment
évaluées et jugées conformes au programme PABP de continuer
à être déployées jusqu’à ce que de nouvelles applications de paiement conformes à la norme PA-DSS soient disponibles.
Une approche évolutive a été appliquée aux dates d’expiration des applications PABP, en fonction de la version des exigences utilisées pour les évaluer. Afin de rester sur la liste PCI SSC sous le statut « Acceptable pour les nouveaux déploiements », les applications conformes au programme PABP doivent être
évaluées selon la norme PA-DSS et le calendrier prescrit. Si une application conforme au programme PABP n’est pas évaluée selon la norme PA-DSS et le calendrier prescrit, l’application figurera sur la liste du PCI SSC, mais sous le statut « Inacceptable pour les nouveaux déploiements ».
Remarque :
La liste du PCI SSC fait la distinction entre les « nouveaux déploiements » et les
« déploiements existants ». De manière générale, la durée de vie des applications de paiement une fois déployées est longue, allant parfois jusqu’à 10 ou 15 ans. Le
PCI SSC a conscience que la procédure de déploiement des applications de paiement peut être complexe et coûteuse, et que la mise à jour annuelle des applications de paiement par les commerçants et les acquéreurs
n’est guère pratique.
Le tableau suivant indique les dates d’expiration respectives et les notes qui seront incluses dans la liste
des applications de paiement conformes à la norme PA-DSS pour les versions du programme PABP, ainsi que pour les vérifications PA-DSS, conformément à la version 1.1 de la norme PA-DSS en vigueur.
Liste du PCI SSC avant expiration Liste du PCI SSC après expiration
Version
Date d’expiration
PABP 1.4
24 mois
Notes de conformité
Conforme au programme
PABP
Notes de déploiement
Acceptable pour les nouveaux déploiements
Notes de conformité
Conforme au programme
PABP
Notes de déploiement
Inacceptable pour les nouveaux déploiements
PABP 1.3
18 mois Conforme au programme
PABP
Acceptable pour les nouveaux déploiements
Conforme au programme
PABP
Inacceptable pour les nouveaux déploiements
Avant le programme
PABP 1.3
12 mois Application pré-PCI
Déconseillé pour les nouveaux déploiements
Application pré-PCI
Inacceptable pour les nouveaux déploiements
PA-DSS
1.1
3 ans après la modification de la norme
Conforme à la norme PA-
DSS
Acceptable pour les nouveaux déploiements
Conforme à la norme PA-
DSS
Inacceptable pour les nouveaux déploiements
Le schéma du processus de capitalisation et de migration d’applications PABP est détaillé dans la Figure 3.
Applications en cours de vérification PABP lors de la migration
Un délai de tolérance d'environ six mois a débuté à compter de la sortie de la norme PA-DSS version 1.1, permettant aux PA-QSA de se familiariser avec la nouvelle norme, de suivre une formation et de se qualifier pour réaliser des vérifications PA-DSS. De la même façon, les fournisseurs ont pu utiliser cette période pour se familiariser avec la norme PA-DSS et appliquer les nouvelles exigences PA-DSS lors du développement de leurs nouvelles applications de paiement.
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 23
Pendant la période de tolérance, les applications peuvent continuer à être évaluées par rapport au programme PABP version 1.4. La période de tolérance s’étend jusqu’au 15 octobre 2008. Les rapports soumis au-delà de cette date ne seront pas acceptés et n’obtiendront pas l’attestation de conformité au programme PABP.
1
Les rapports basés sur le programme PABP version 1.4 et soumis après le 15 octobre 2008 doivent être soumis aux procédures de migration PA-DSS. Le PA-QSA peut utiliser les résultats du rapport PABP, mais doit également joindre une réévaluation lors de l’envoi au PCI SSC, conformément aux procédures
de migration PA-DSS.
Le fournisseur peut également choisir de faire évaluer son application de paiement conformément à la norme PA-DSS à tout moment après la sortie de la nouvelle norme.
Procédures de migration PA-DSS
Les procédures de migration PA-DSS doivent être utilisées par les évaluateurs de sécurité qualifiés des applications de paiement (PA-QSA), le cas échéant, pour assurer la migration d’une application depuis la liste Visa des applications de paiement conformes au programme PABP applications de paiement conformes à la norme PA-DSS
3
.
2
vers la liste du PCI SSC des
Remarque : Le PCI SSC assure la capitalisation (ou le transfert) des applications de paiement conformes au programme PABP versions 1.3 et 1.4 vers la liste des applications de paiement conformes à la norme
PA-DSS, pour une durée respective de 18 et 24 mois. Passé ce délai, une vérification PA-DSS est exigée.
Ces procédures de migration sont applicables dans les scénarios suivants :
Application obligatoire des procédures de migration : Si une application de paiement est soumise à une vérification PABP qui n’est pas terminée ni validée par Visa avant le 15.10.08, alors l’application de ces procédures de migration est obligatoire pour que le PCI SSC reconnaisse ces applications comme conformes à la norme PA-DSS. Les vérifications faites uniquement selon le
programme PABP NE seront PLUS acceptées après le 15.10.08.
Remarque :
La même société PA-QSA que celle contactée pour réaliser la vérification PABP doit être sollicitée pour appliquer les procédures de migration PA-DSS.
Application volontaire des procédures de migration : Conformément à la Remarque ci-dessus, si un fournisseur d’applications de paiement dispose d’applications éligibles à une capitalisation, mais qu’il souhaite qu’une application conforme au programme PABP version 1.3 ou 1.4 soit répertoriée comme
« Conforme à la norme PA-DSS », alors ces procédures de migration doivent être appliquées. Un PA-QSA appliquera les procédures et transmettra le rapport conformément au Guide du programme PA-DSS, afin que le PCI SSC reconnaisse les applications validées selon le programme PABP versions 1.3 et 1.4.
Pour plus d’informations sur les procédures de migration PA-DSS, reportez-vous à la section Procédures
de migration PA-DSS du programme PABP du site Web.
1
Si l’application de paiement est évaluée par rapport au programme PABP version 1.4 et soumise avant le 15 octobre 2008, et si le rapport présente des problèmes de qualité, la situation fera l’objet d’une exception. Cette application peut poursuivre sa vérification conformément au programme PABP version 1.4 jusqu’à la résolution des
2 problèmes de qualité. Les exceptions de ce type seront autorisées jusqu’au 15 avril 2009.
Vérification par rapport au programme PABP (Payment Application Best Practices, meilleurs pratiques des applications de paiement), version 1.3 ou 1.4
3
Vérification par rapport à la norme PA-DSS (Payment Application Data Security Standard, norme de sécurité des données des applications de paiement), version 1.1
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 24

Öffentlicher Link aktualisiert
Der öffentliche Link zu Ihrem Chat wurde aktualisiert.