Identification des builds d’applications de paiement certifiées. PCI PA-DSS

Annexe B : Identification des builds d’applications de paiement certifiées

Remarque : À l’étude.

Même si les builds d'applications de paiement certifiées ne constituent pas aujourd’hui une exigence, nous encourageons les fournisseurs de logiciels et les PA-QSA à travailler de concert pour développer des méthodes permettant de certifier et d'approuver les builds d’applications de paiement de façon numérique. Le PCI SSC se réserve le droit d’exiger, à l’avenir, les builds d’applications de paiement certifiées.

Une telle méthode pourrait par exemple inclure les éléments suivants :

Les fournisseurs identifient clairement une build certifiée à des fins de publication. Dans l’idéal, une build certifiée conforme par un PA-QSA doit contenir l’empreinte numérique (codée) du fournisseur de logiciels et celle du QSA, apposée au moment de l’expédition. Au minimum, la livraison doit être clairement identifiée par le nom, la version, le numéro de build et l’horodatage, et doit pouvoir être vérifiée par un prétraitement MD5 et par l’en-tête de build correspondante. De cette façon, l’exigence 7.2 de la norme

PA-DSS concernant la garantie d’expédition via la « chaîne de confiance connue » est renforcée. Cette méthode permettrait également de prendre en charge les programmes PA-DSS relatifs aux marques de cartes de paiement, et d’encourager la sensibilisation et la confiance des clients.

Guide du programme PCI PA-DSS v. 1.2, Identification des builds d’applications de paiement certifiées

Copyright 2008 PCI Security Standards Council LLC

Octobre 2008

Page 34