Migration et capitalisation d'applications de paiement conformes au programme PABP. PCI PA-DSS

Migration et capitalisation d'applications de paiement conformes au programme PABP

Capitalisation d’applications PABP sur la liste PABP d’ici le 15 octobre 2008

Le PCI SSC capitalise (transfère) les applications conformes au programme PABP existantes sur la liste du PCI SSC. Cette approche de capitalisation permet aux applications précédemment

évaluées et jugées conformes au programme PABP de continuer

à être déployées jusqu’à ce que de nouvelles applications de paiement conformes à la norme PA-DSS soient disponibles.

Une approche évolutive a été appliquée aux dates d’expiration des applications PABP, en fonction de la version des exigences utilisées pour les évaluer. Afin de rester sur la liste PCI SSC sous le statut « Acceptable pour les nouveaux déploiements », les applications conformes au programme PABP doivent être

évaluées selon la norme PA-DSS et le calendrier prescrit. Si une application conforme au programme PABP n’est pas évaluée selon la norme PA-DSS et le calendrier prescrit, l’application figurera sur la liste du PCI SSC, mais sous le statut « Inacceptable pour les nouveaux déploiements ».

Remarque :

La liste du PCI SSC fait la distinction entre les « nouveaux déploiements » et les

« déploiements existants ». De manière générale, la durée de vie des applications de paiement une fois déployées est longue, allant parfois jusqu’à 10 ou 15 ans. Le

PCI SSC a conscience que la procédure de déploiement des applications de paiement peut être complexe et coûteuse, et que la mise à jour annuelle des applications de paiement par les commerçants et les acquéreurs

n’est guère pratique.

Le tableau suivant indique les dates d’expiration respectives et les notes qui seront incluses dans la liste

des applications de paiement conformes à la norme PA-DSS pour les versions du programme PABP, ainsi que pour les vérifications PA-DSS, conformément à la version 1.1 de la norme PA-DSS en vigueur.

Liste du PCI SSC avant expiration Liste du PCI SSC après expiration

Version

Date d’expiration

PABP 1.4

24 mois

Notes de conformité

Conforme au programme

PABP

Notes de déploiement

Acceptable pour les nouveaux déploiements

Notes de conformité

Conforme au programme

PABP

Notes de déploiement

Inacceptable pour les nouveaux déploiements

PABP 1.3

18 mois Conforme au programme

PABP

Acceptable pour les nouveaux déploiements

Conforme au programme

PABP

Inacceptable pour les nouveaux déploiements

Avant le programme

PABP 1.3

12 mois Application pré-PCI

Déconseillé pour les nouveaux déploiements

Application pré-PCI

Inacceptable pour les nouveaux déploiements

PA-DSS

1.1

3 ans après la modification de la norme

Conforme à la norme PA-

DSS

Acceptable pour les nouveaux déploiements

Conforme à la norme PA-

DSS

Inacceptable pour les nouveaux déploiements

Le schéma du processus de capitalisation et de migration d’applications PABP est détaillé dans la Figure 3.

Applications en cours de vérification PABP lors de la migration

Un délai de tolérance d'environ six mois a débuté à compter de la sortie de la norme PA-DSS version 1.1, permettant aux PA-QSA de se familiariser avec la nouvelle norme, de suivre une formation et de se qualifier pour réaliser des vérifications PA-DSS. De la même façon, les fournisseurs ont pu utiliser cette période pour se familiariser avec la norme PA-DSS et appliquer les nouvelles exigences PA-DSS lors du développement de leurs nouvelles applications de paiement.

Guide du programme PCI PA-DSS v. 1.2

Copyright 2008 PCI Security Standards Council LLC

Octobre 2008

Page 23

Pendant la période de tolérance, les applications peuvent continuer à être évaluées par rapport au programme PABP version 1.4. La période de tolérance s’étend jusqu’au 15 octobre 2008. Les rapports soumis au-delà de cette date ne seront pas acceptés et n’obtiendront pas l’attestation de conformité au programme PABP.

1

Les rapports basés sur le programme PABP version 1.4 et soumis après le 15 octobre 2008 doivent être soumis aux procédures de migration PA-DSS. Le PA-QSA peut utiliser les résultats du rapport PABP, mais doit également joindre une réévaluation lors de l’envoi au PCI SSC, conformément aux procédures

de migration PA-DSS.

Le fournisseur peut également choisir de faire évaluer son application de paiement conformément à la norme PA-DSS à tout moment après la sortie de la nouvelle norme.

Procédures de migration PA-DSS

Les procédures de migration PA-DSS doivent être utilisées par les évaluateurs de sécurité qualifiés des applications de paiement (PA-QSA), le cas échéant, pour assurer la migration d’une application depuis la liste Visa des applications de paiement conformes au programme PABP applications de paiement conformes à la norme PA-DSS

3

.

2

vers la liste du PCI SSC des

Remarque : Le PCI SSC assure la capitalisation (ou le transfert) des applications de paiement conformes au programme PABP versions 1.3 et 1.4 vers la liste des applications de paiement conformes à la norme

PA-DSS, pour une durée respective de 18 et 24 mois. Passé ce délai, une vérification PA-DSS est exigée.

Ces procédures de migration sont applicables dans les scénarios suivants :

Application obligatoire des procédures de migration : Si une application de paiement est soumise à une vérification PABP qui n’est pas terminée ni validée par Visa avant le 15.10.08, alors l’application de ces procédures de migration est obligatoire pour que le PCI SSC reconnaisse ces applications comme conformes à la norme PA-DSS. Les vérifications faites uniquement selon le

programme PABP NE seront PLUS acceptées après le 15.10.08.

Remarque :

La même société PA-QSA que celle contactée pour réaliser la vérification PABP doit être sollicitée pour appliquer les procédures de migration PA-DSS.

Application volontaire des procédures de migration : Conformément à la Remarque ci-dessus, si un fournisseur d’applications de paiement dispose d’applications éligibles à une capitalisation, mais qu’il souhaite qu’une application conforme au programme PABP version 1.3 ou 1.4 soit répertoriée comme

« Conforme à la norme PA-DSS », alors ces procédures de migration doivent être appliquées. Un PA-QSA appliquera les procédures et transmettra le rapport conformément au Guide du programme PA-DSS, afin que le PCI SSC reconnaisse les applications validées selon le programme PABP versions 1.3 et 1.4.

Pour plus d’informations sur les procédures de migration PA-DSS, reportez-vous à la section Procédures

de migration PA-DSS du programme PABP du site Web.

1

Si l’application de paiement est évaluée par rapport au programme PABP version 1.4 et soumise avant le 15 octobre 2008, et si le rapport présente des problèmes de qualité, la situation fera l’objet d’une exception. Cette application peut poursuivre sa vérification conformément au programme PABP version 1.4 jusqu’à la résolution des

2 problèmes de qualité. Les exceptions de ce type seront autorisées jusqu’au 15 avril 2009.

Vérification par rapport au programme PABP (Payment Application Best Practices, meilleurs pratiques des applications de paiement), version 1.3 ou 1.4

3

Vérification par rapport à la norme PA-DSS (Payment Application Data Security Standard, norme de sécurité des données des applications de paiement), version 1.1

Guide du programme PCI PA-DSS v. 1.2

Copyright 2008 PCI Security Standards Council LLC

Octobre 2008

Page 24