PCI DSS

PA-DSS – Rappel du standard en version 3.0

by  • 

Définition de PA DSS : Aider les fournisseurs de logiciels et autres à développer des applications de paiements sécurisées qui ne mémorisent pas les données interdites telles que la bande magnétique completes, le CCV2 ou les données NIP

pa-dssJe vous propose un rappel de la norme PA-DSS dans le contexte PCI SSC. Le standard PA-DSS (Payment Application Data Security Standard) est défini par le PCI Council composé des réseaux (Schemes). Ce standard comporte des exigences concernant le développement d’applications de paiement qui stockent, traitent ou transmettent des données cartes (PAN…). Le standard PA-DSS à été pensée pour éviter le vol de données cartes en masse sur des applications de paiement développée sans aucun sensibilisation aux durcissements du code et de la sécurité des données transitants par celle-ci.

C’est aussi un moyen de faciliter lors de l’audit PCI DSS de votre plateforme quand ce logiciel est implémenté suivant le guide d’installation à la lettre. J’ai fait un article sur le sujet ici.

PA-DSS est la suite du programme de supervision du programme PABP (Payment Application Best Practices) de conformité suivi par VISA Inc.

Les applications de paiements éligibles PA-DSS sont proposés par les fournisseurs/Éditeurs :

  • Applications de paiements aux catalogues pour différents clients (Processeurs de Paiements, Sites Marchands…), On peut citer Wincor, ACI…
  • Les terminaux de paiements autonomes dans le cas d’un raccordement au SI (Réseaux ou Systèmes) du commerçant, ils ne doivent pas être uniquement reliés au processeur de paiement (Acquirer).
  • Application de paiement ne permettant une maintenance sécurisée par le réseau.
  • Toutes applications qui stockent des données cartes dans le domaine de procédure d’Autorisation (PAN, CVV2…)

Les applications de paiements internes développées par des commerçants ou fournisseurs de services qui ne sont pas vendues à des tiers ne sont pas assujetties à la certification PA DSS mais il est fortement recommandé de suivre le guide PA DSS pour l’écriture de celles-ci.

PA-DSS c’est quoi exactement ?

Depuis Novembre 2013, nous sommes dans la version 3.0 du standard PA-DSS. Le standard PA-DSS se compose de 14 chapitres et deux annexes. Cela représente environs 90 points de contrôle sur l’ensemble de la chaine de développement. Certaines exigences sont identiques aux exigences PCI DSS. Vous trouverez ci-dessous les principaux thèmes du standard PA-DSS en version 3.0.

  • Chapitre 1 : Ne pas contenir de données cartes sensibles (CAV2, CID, CVC2, CVV2) ou de codes PIN (5 exigences à couvrir).
  • Chapitre 2 : Protéger les données cartes stockés (13 exigences à couvrir)
  • Chapitre 3 : Fournir des mécanismes d’authentifications robustes et sécurisés (17 exigences à couvrir)
  • Chapitre 4 : Mécanisme de journalisation de l’activité de l’application(applications & utilisateurs – fichiers journaux « SIEM », 17 exigences à couvrir)
  • Chapitre 5 : Règles d’écritures des applications de paiement durcies (35 exigences à couvrir)
  • Chapitre 6 : Protéger les réseaux sans fils (3 exigences à couvrir)
  • Chapitre 7 : Tests de vulnérabilités & Patch management de l’application sur ces mises à jour (8 exigences à couvrir)
  • Chapitre 8 : Permettre son déploiement dans un réseau sécurisé (3 exigences à couvrir)
  • Chapitre 9 : Le stockage des données cartes est à exclure des serveurs connectés en direct sur Internet (1exigence à couvrir)
  • Chapitre 10 : Avoir un accès sécurisé pour accéder à l’application de paiement (5 exigences à couvrir)
  • Chapitre 11 : Chiffrer les données qui sont transportés sur les réseaux publiques (2 exigences à couvrir)
  • Chapitre 12 : Chiffrer les accès aux services d’administration de l’application (2 exigences à couvrir)
  • Chapitre 13 : Maintenir à jour les guides d’implémentations de la version PA-DSS de l’application pour les utilisateurs finaux, les revendeurs et les intégrateurs (4 exigences)
  • Chapitre 14 : Désigner les responsabilités de chaque personne intervenant sur l’application PA-DSS ainsi que les programmes de formations/sensibilisations aux utilisateurs finaux, intégrateurs et revendeurs (4 exigences)
  • Annexe A : Sommaire du guide d’implémentation de l’application (+28 exigences à retrouver dans le guide)
  • Annexe B : Validation de l’installation de l’application dans un laboratoire via le PA-QSA – Etablissement d’un ROV (Report Of Validation) – (8 exigences à suivre)

 Combien de temps un certificat PA-DSS est il valable ?

Le standard est prévu pour 3 ans et le certificat doit être revu tous les ans par un PA-QSA. Il faut bien vérifier avant de démarrer l’audit PCI DSS que les licences PA-DSS des applications de paiement soient toujours valable, sinon on rentre dans un processus plus long (Revu de codes, justification du chiffrement…), surtout on passe pour des gens peu sérieux auprès des QSA lors de l’audit.

Conclusion

Si vous avez la possibilité d’influencer lors de l’écriture d’un programme de paiement même interne, suivez sans hésitation les recommandations du standard PA-DSS, vos applications seront robustes et fiables aussi sur un niveau sécuritaire que fonctionnel. Le coût de développement sera aussi réduit et faire le choix de sacrifier la sécurité d’une application de paiement n’est vraiment pas un objectif à moins d’opter pour une qualité médiocre de son service…

Pour en savoir plus :

Site du PCI : https://www.pcisecuritystandards.org/minisite/en/docs/PA-DSS_v3.pdf