Le PCI Council met à jour le standard PA-DSS pour coller à PCI DSS 3.1.
Le 1er Juin 2015, le PCI Council a annoncé la dernière version du standard PA-DSS. Les standards PCI DSS et PA-DSS sont maintenant sur la branche 3.1. Je vous propose de balayer les nouveautés sur ce standard. Pour rappel une application PA-DSS permet lors d’un audit PCI DSS d’apporter une souplesse au niveau de la revue d’audit de l’application de paiement et un environnement sécurisé suivant des exigences précises.
Tableau 1: Type de changement
| Type de changement | Définition |
|---|---|
| Clarification | Clarifie l'intention de l'exigence. Assure que le libellé concis dans la norme dépeint l'intention souhaitée des exigences |
| Conseil supplémentaire | explication, définition et / ou instruction pour accroître la compréhension ou de fournir de plus amples information ou d'orientation sur un sujet particulier. |
| Exigence en évolution | Modifications pour assurer que les standards sont à jour avec les menaces et les changements qui se dessinent sur le marché. |
Tableau 2: Détails des changements entre la version 3.0 et 3.1 du standard PA-DSS
| PA-DSS 3.0 | PA-DSS 3.1 | Changement | Type |
|---|---|---|---|
| Tous | Tous | Corrections d'erreurs typographiques mineures (grammaire,ponctuation, mise en forme, etc.) et incorpore les mises à jour mineures pour permettre la lisibilité dans tout le document. | Clarification |
| Tous | Tous | Changement de la Référence «marchand» à «client» pour désigner des entités qui utilise des applications de paiement. | Clarification |
| PCI DSS Information Applicable | PCI DSS Information applicable | Changement de la référence «institutions financières» aux «acquéreurs, les émetteurs". Comme précisé dans la norme PCI DSS qui applique à toute entité qui stocke, traite ou transmet des données de compte (PAN). | Clarification |
| 2.3 | 2.3 | Clarifié dans l'exigence "Note" que des contrôles supplémentaires sont nécessaires si des versions hachées et tronquées de la même PAN sont générés par l'application de paiement. . Ajouté dans la procédure de test 2.3.c que la validation de la note, et renuméroté les procédures ultérieurs. | Clarification |
| 2.4 | 2.4 | Mise à jour des directives pour clarifier les touches clés de cryptage n'ont pas besoin d'être chiffré. Cependant, ils doivent être protégée conformément à l'exigence 2.4 | Conseil Supplémentaire |
| 2.5 | 2.5 | Changé "chiffrement" à "cryptographique" dans la procédure de test pour s'aligner avec l'exigence. | Clarification |
| 3.1.a | 3.1.a | Mise à jour de la procédure de test afin de clarifier que l'orientation dans le Guide de mise en œuvre PA-DSS consiste à attribuer une authentification sécurisée à tous les comptes par défaut dans l'environnement, et que tous les comptes par défaut qui ne seront pas utilisés devraient également être désactivé ou non utilisé. | Clarification |
| 3.1.7 | 3.1.7 | Précisé que les mots de passe doivent être changés au moins une fois tous les 90 jours. | Clarification |
| 5.1.d | 5.1.d | Mise à jour procédure de test pour l'aligner sur l'exigence | Clarification |
| 5.3.3.a 5.4.1.c | 5.3.3.a 5.4.1.c | Mise à jour la langue dans les procédures de test de cohérence | Clarification |
| 5.4.3.a | 5.4.3.a | Points combinées (Bullet) dans les procédures d'essai pour supprimer la redondance | Clarification |
| 5.4.5.b | 5.4.5.b | Mise à jour de la procédure de test pour s'aligner à l'exigence. | Clarification |
| 6.3 | 6.3 | Supprimée les redondances de langage dans la procédure de test. | Clarification |
| 8.2 | 8.2 | Suppression du protocole SSL comme exemple d'une technologie sécurisée. Ajout d'une note que le protocole SSL sur les applications de cryptographie et de paiement durcies et que les premières versions de TLS ne sont pas considérés ne doivent pas être utiliser ou permettre de soutenir l'utilisation de SSL ou TLS V1.0. cela à aussi des impacts dans les Exigences 11.1 et 12.01 à 12.02. | Exigence en évolution |
| 8.3 | 8.3 | Mise à jour pour la compatibilité avec le standard PCI DSS. | Clarification |
| 10.2.2 | 10.2.2 | Précise que les informations d'identification et d'authentification unique doivent être utilisé pour chaque client. | Clarification |
| 11.1 | 11.1 | Suppression SSL comme un exemple d'une technologie sûre et ajouté une note à l'exigence. Voir l'explication ci-dessus à 8.2 | Exigence en évolution |
| 12.1 - 12.2 | 12.1-12.2 | Suppression SSL comme un exemple d'une technologie sûre et ajouté une note à l'exigence. Voir l'explication ci-dessus à 8.2. | Exigence en évolution |
| Appendix A | Appendix A | Mises à jour des exigences pour refléter les changements applicables | Clarification |
Enjoy PA-DSS 🙂
