Annexe B : Identification des builds d’applications de paiement certifiées
Remarque : À l’étude.
Même si les builds d'applications de paiement certifiées ne constituent pas aujourd’hui une exigence, nous encourageons les fournisseurs de logiciels et les PA-QSA à travailler de concert pour développer des méthodes permettant de certifier et d'approuver les builds d’applications de paiement de façon numérique. Le PCI SSC se réserve le droit d’exiger, à l’avenir, les builds d’applications de paiement certifiées.
Une telle méthode pourrait par exemple inclure les éléments suivants :
Les fournisseurs identifient clairement une build certifiée à des fins de publication. Dans l’idéal, une build certifiée conforme par un PA-QSA doit contenir l’empreinte numérique (codée) du fournisseur de logiciels et celle du QSA, apposée au moment de l’expédition. Au minimum, la livraison doit être clairement identifiée par le nom, la version, le numéro de build et l’horodatage, et doit pouvoir être vérifiée par un prétraitement MD5 et par l’en-tête de build correspondante. De cette façon, l’exigence 7.2 de la norme
PA-DSS concernant la garantie d’expédition via la « chaîne de confiance connue » est renforcée. Cette méthode permettrait également de prendre en charge les programmes PA-DSS relatifs aux marques de cartes de paiement, et d’encourager la sensibilisation et la confiance des clients.
Guide du programme PCI PA-DSS v. 1.2, Identification des builds d’applications de paiement certifiées
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 34
