Annexe A : Éléments de la lettre d’acceptation et de la
liste des applications de paiement conformes
à la norme PA-DSS
Fournisseur de l’application de paiement
Ce champ désigne le fournisseur de l’application de paiement à valider.
Identifiant de l’application de paiement
L’identifiant de l’application de paiement indique au PCI SSC les informations relatives à une application de paiement validée. Il comprend les éléments suivants :
nom de l’application de paiement ;
numéro de version de l’application de paiement.
Afin de garantir l’utilisation d’une application de paiement validée, il est fortement recommandé aux clients acquéreurs ou à leurs agents désignés d’acheter et de déployer uniquement les applications de paiement dont les informations associées correspondent exactement à celles de l’identifiant de l’application de paiement. Exemple d’identifiant d’application de paiement (deux composants) :
Composant
Nom de l’application
Numéro de version de l’application
Description
Acme Payment 600
PCI 4.53
Numéro de version de l’application
Le numéro de version de l’application correspond au numéro de l’application spécifique vérifiée lors de l’évaluation PA-DSS. Il peut être constitué d’un ensemble de caractères alphanumériques fixes ou variables.
Remarque :
Pour plus d’informations sur le contenu à inclure dans le Rapport sur la conformité PA-DSS concernant les méthodologies de gestion des versions appliquées par le fournisseur, reportez-vous à la section
Instructions et contenu du Rapport sur la conformité.
Il est fortement recommandé aux clients d'acheter et de déployer uniquement des applications portant le numéro de version d'application comprenant exactement les mêmes caractères alphanumériques que celui de l’application figurant sur la liste des applications de paiement conformes à la norme PA-
DSS ou sur la lettre d’acceptation PA-DSS émise par le PCI SSC.
Numéro d’approbation
Le PCI SSC attribue un numéro d’approbation au moment de l’acceptation. Ce numéro reste le même tant que l’application figure sur la liste.
Notes de conformité
Les notes de conformité permettent au PCI SSC de déterminer si la vérification a été réalisée en fonction du programme PABP de Visa ou du programme PA-DSS du PCI SSC. Elles permettent
également de connaître la version applicable du programme PABP ou de la norme PA-DSS.
Reportez-vous aux exemples du tableau dans la section Notes de déploiement ci-dessous.
Guide du programme PCI PA-DSS v. 1.2, Éléments de la lettre d’acceptation
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 31
Notes de déploiement
Les notes de déploiement permettent au PCI SSC de déterminer si une application de paiement est acceptable ou non pour les nouveaux déploiements et si elle correspond à la date d’expiration appropriée, indiquée ci-dessous. Pour plus d'informations, reportez-vous au tableau page 25.
Liste du PCI SSC avant expiration Liste du PCI SSC après expiration
Notes de conformité Notes de déploiement Notes de conformité Notes de déploiement
Conforme au programme PABP
Application pré-PCI
Acceptable pour les nouveaux déploiements
Déconseillé pour les nouveaux déploiements
Conforme au programme PABP
Application pré-PCI
Inacceptable pour les nouveaux déploiements
Inacceptable pour les nouveaux déploiements
Conforme à la norme
PA-DSS
Acceptable pour les nouveaux déploiements
Conforme à la norme
PA-DSS
Inacceptable pour les nouveaux déploiements
Auto-attestation pour les modifications mineures de versions, le cas échéant
L’auto-attestation pour les modifications mineures de versions permet de spécifier, le cas échéant, les versions d’applications auxquelles s’applique la procédure pour les modifications mineures apportées aux applications, documentée dans la section Aucun impact sur les exigences PA-DSS de ce document.
Date de revalidation annuelle
La date de revalidation annuelle permet au PCI SSC de savoir quand l’attestation de conformité annuelle du fournisseur de logiciels arrive à échéance. Une section sur la revalidation annuelle figure dans le formulaire d’attestation de conformité, qui se trouve dans la partie 3b de l’annexe C de la norme PA-DSS.
Date d’expiration
La date d’expiration des applications de paiement conformes à la norme PA-DSS correspond à la date
à laquelle un fournisseur doit faire réévaluer son application, conformément aux exigences de la norme
PA-DSS en vigueur, afin de conserver son acceptation. La date d’expiration se rapporte aux notes de déploiement susmentionnées.
Le PCI SSC s’efforcera de mettre à jour la norme PA-DSS sur une base de 24 mois, conjointement aux mises à jour des normes PCI DSS. L’acceptation des applications de paiement conformes à la norme PA-DSS expire trois ans après la date effective d’une mise à jour des exigences
PA-DSS. L’objectif est fixé à un minimum de trois ans d’approbation, sous réserve de menaces susceptibles de nécessiter des modifications immédiates.
Remarque :
Toute évaluation PA-DSS réalisée par rapport à la norme PA-DSS version 1.1 obtient la même date d’expiration que les vérifications effectuées par rapport à la version 1.2, conformément à la procédure normale d’expiration.
Exemple : Les versions 1.1 et 1.2 de la norme PA-DSS expireront à la même date. Avec la version suivante de la norme PA-DSS (faisant suite à la version 1.2), dont la sortie est prévue en octobre 2010, les vérifications par rapport aux versions 1.1 et 1.2 expireront en octobre 2013.
Actuellement, les applications de paiement conformes à la norme PA-DSS figurant sur la liste agréée au moment de leur déploiement n’ont pas de date d’expiration. Les applications de paiement déployées dont les approbations ont expiré peuvent encore être utilisées. Le calendrier d’expiration s’applique aux nouveaux achats/déploiements, et non aux déploiements existants.
Guide du programme PCI PA-DSS v. 1.2, Éléments de la lettre d’acceptation
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 32
Société PA-QSA
Ce champ indique le nom de la société d'évaluateurs de sécurité qualifiés des applications de
paiement qui ont réalisé la vérification et déterminé si l’application de paiement était conforme à la norme
PA-DSS.
Type d’application de paiement
Le type d’application de paiement désigne l'un des éléments suivants :
Point de vente Règlement
Pompe à essence automatisée d’achat
Passerelle
Autre
Marché visé
Le marché visé correspond au marché cible de l’application de paiement, le cas échéant. Les marchés suivants constituent des exemples de marchés visés :
Remarque :
Kiosques pour les parcs de stationnement
Essence/huile
électronique
Ces éléments permettent de déterminer si l’application de paiement est conçue pour un marché particulier, et non à des seules fins de marketing pour le fournisseur de logiciels.
Région ou localité spécifique pour l’application de paiement, le cas échéant
La région ou localité spécifique pour l’application de paiement s’applique aux applications de paiement qui sont exclusivement développées pour des régions ou localités géographiques spécifiques.
Guide du programme PCI PA-DSS v. 1.2, Éléments de la lettre d’acceptation
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 33
