PA-DSS ne fait pas tout dans le cadre d'une certification PCI DSS
Depuis le début de mes projets PCI DSS, il y a des raccourcis qui ont la vie dure et en particulier le fait qu’une application certifiée PA-DSS permette d’obtenir la conformité PCI DSS sans le moindre effort. Il est temps de faire un éclairage sur le sujet.
La mise en oeuvre d’une application PA-DSS ne fait pas que votre SI soit conforme à la norme PCI DSS Loin de là. Cette application doit être mise en place dans un environnement respectant les normes et exigences PCI et surtout conformément au guide d’installation (install guide compliant PA-DSS from Editor). Ce document doit être suivi et il ne peut être adapté à la guise du SI existant (conformité PA-DSS sous Linux n’est pas transposable sur un coup de tête sur une plate forme AIX). Il faut vérifier attentivement les plateformes ayant suivi le processus de certification PA-DSS.
Toutes les applications qui stockent, traitent ou transmettent des données cartes (PAN) peuvent faire l’objet d’une évaluation PCI DSS au sein de l’entreprise, y compris les applications PA-DSS. Lors de votre audit le QSA vérifiera que votre application PA-DSS aura été implémentée et configurer suivant le guide d’installation.
Il est fréquent lors de l’installation d’une version PA-DSS d’avoir des modifications pour permettre le traitement des données cartes (Batch, scripts, extractions…) et ceux-ci doivent subir un contrôle plus approfondi pendant l’audit (Guide de durcissement des scripts, codes durcis…) et seul le QSA pourra identifier si la conformité PA-DSS est encore valide à ce niveau.
Les applications de paiement sécurisées doivent être mise en oeuvre suivant la norme PCI DSS et le fait d’utiliser les applications conforment à la norme PA-DSS permettent d’offrir une environnement sécuritaire fort.
Les plus aussi d’une application PA-DSS sont aussi l’indice de confiance du QSA lors de l’audit PA-DSS ainsi que des clients de la plateforme. Les données sensibles comme les informations completes du PAN (CAV2, CID, CVC2, CVV2), les codes et blocs PIN sont mieux protéger qu’une application de paiements non conforme PA-DSS.
Les plus du Directeur de Projet:
Lors du choix de votre application de paiements, ne pas hésiter à voir sur le site du PCI SSC si celle-ci est conforme PA-DSS.
Le lien du PCI SSC: Ici
Faire le choix d’une application PA-DSS vous évites les revues de codes chaque année, vous répondez aux exigences de stockage du PAN généralement. Sur du PA-DSS vous ne devriez plus avoir du PAN en clair ou sinon c’est qu’il y a compromission 🙂
Enjoy 🙂