Payment Application Data Security Standard

Transcription

Payment Card Industry (PCI)
Payment Application Data Security
Standard
Récapitulatif des changements entre
les versions 1.2.1 et 2.0 de la norme
PA-DSS
Octobre 2010
Paragraphe ou condition
Ancienne
Nouvelle
Généralités
Généralités
Généralités
Généralités
Généralités
Généralités
Généralités
Généralités
Généralités
Généralités
Généralités
Généralités
Généralités
Généralités
i
Modification
Type
Attestation de conformité
L'attestation de validation a été supprimée de
l'annexe et est maintenant un document à part. Mise
à jour en conséquence des références au document.
Clarification
Objectif de ce document
Ajout de la référence aux ressources
supplémentaires disponibles sur le site Web du PCI
SSC.
Directives
supplémentaires
Relation entre les normes PCI DSS et PA-DSS
Ajout d'une phrase afin de clarifier qu'utiliser une
application conforme à la seule norme PA DSS
n'entraîne pas la conformité de l'entité à la
norme PCI DSS.
Clarification des données de bande magnétique
et/ou des données équivalentes sur la puce.
Clarification
Champ d'application de la norme PA-DSS
Clarification du fait que la norme PA-DSS ne
s'applique pas aux applications de paiement
développées pour, et vendues à, un seul client,
destinées au seul usage de ce client.
Clarification
Conditions d’application de la norme PA-DSS
aux applications de paiement sur les terminaux
matériels
Paragraphe mis à jour, étendu, clarifié et renommé
afin de répondre aux applications de paiement sur
les terminaux matériels, où il est possible de
satisfaire aux conditions de la norme PA-DSS en
dehors de l'application de paiement.
Directives
supplémentaires
Conditions relatives aux évaluateurs de sécurité
qualifiés de l'application de paiement (PA-QSA)
Déplacement de « Le PA-QSA doit avoir accès au
laboratoire où le processus de validation est censé
avoir lieu » du paragraphe sur le laboratoire de test à
celui des conditions relatives aux PA-QSA.
Clarification
Laboratoire de test
Clarification de l'emplacement des laboratoires de
test et de l'obligation pour les PA-QSA de valider
l'installation approprié du laboratoire de test.
Clarification
Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS
Copyright 2010 PCI Security Standards Council LLC
Octobre 2010
Page 2 sur 11
Ancienne
Nouvelle
Généralités
Généralités
Généralités
Généralités
Toutes les
conditions
Toutes les
conditions
Généralités
Généralités
Toutes les
conditions
Toutes les
conditions
i
Modification
Type
Informations relatives aux conditions
d’application de la norme PCI DSS
Mise à jour pour harmonisation avec la norme
PCI DSS.
Ajout du terme « données de compte » et
d'informations détaillées sur les « données de
titulaires de cartes » et « les données
d'authentification sensibles ».
Clarification du fait que le numéro de compte
primaire (PAN) est le facteur déterminant de
l'applicabilité de la norme PCI DSS.
Ajout du paragraphe (remplaçant l'ancienne note
de bas de page) et mise à jour du tableau afin de
clarifier les éléments de données qui doivent être
rendus illisibles conformément à la condition 3.4
de la norme PCI DSS.
Clarification
Instructions et contenu du rapport de conformité
Au paragraphe 3, ajout de l'obligation d'explication
dans le rapport si une condition ne s'applique pas à
une application de paiement donnée.
Clarification
Étapes de mise en conformité avec la norme PADSS
Mise à jour de la référence de l'attestation de
validation.
Clarification
Colonne des conditions dans l'ensemble de la
norme
Nouvelle formulation de chaque remarque
mentionnant anciennement Condition X.X de la
norme de sécurité des données PCI en
« Correspond à la condition X.X de la norme PCI
DSS » afin de clarifier les correspondances entre les
normes PCI DSS et PA-DSS.
Clarification
Conditions et procédures de test dans
l'ensemble de la norme
Partout où il était anciennement mentionné de
vérifier une condition PA-DSS « conformément à la
condition X.X de la norme PCI DSS », la condition
concernée et les procédures de test ont été
importées de la norme PCI DSS et reformulées pour
les adapter aux applications de paiement.
Clarification
Octobre 2010
Page 3 sur 11
Ancienne
Nouvelle
1.1
1.1
1.1.1
1.1.1 – 1.1.3
1.1.1 – 1.1.3
2.1
1.1.1
1.1.1 – 1.1.3
1.1.1 – 1.1.3
2.1
i
Modification
Type
Condition et procédures de test
Ajout d'une remarque afin de clarifier qu'il est
acceptable que les émetteurs et les sociétés qui
prennent en charge les services d'émission
stockent des données d'authentification
sensibles si ceci est justifié du point de vue
professionnel et que ces données sont stockées
de manière sécurisée.
Ajout du test 1.1.a pour les émetteurs et les
sociétés qui prennent en charge les services
d'émission afin de vérifier que l'application de
paiement n'est destinée qu'aux émetteurs et/ou
sociétés qui prennent en charge les services
d'émission.
Déplacement de la procédure de test
anciennement numérotée 1.1 en 1.1.b, précédée
de la mention « Pour toutes les autres
applications de paiement ».
Clarification
Condition et procédure de test
Modification de « sur une puce » en « données
équivalentes contenues sur une puce ».
Clarification
Conditions et procédures de test
Suppression de références spécifiques au glossaire,
d'autres termes du glossaire se trouvant dans
l'ensemble de la norme, sans posséder pour autant
une référence au glossaire.
Clarification
Procédures de test
Clarification du fait que le test doit comprendre
l'examen « d'au moins les types de fichiers
suivants ».
Clarification
Procédure de test
Clarification du fait que l'identification de tous les
emplacements des données de titulaires de cartes
doit comporter des instructions pour la configuration
du logiciel sous-jacent afin de prévenir la capture ou
la conservation accidentelles de ces données.
Clarification
Octobre 2010
Page 4 sur 11
Ancienne
Nouvelle
2.3
2.3,
2.3.a – 2.3.e
2.4
2.5
2.6
2.4,
2.4.a – 2.4.c
2.5,
2.5.a – 2.5.c
2.6,
2.6.1 – 2.6.7
i
Modification
Type
Clarification du fait que la condition s'applique
uniquement au PAN.
Suppression de la remarque sur les informations
de compte minimales, ceci ayant été clarifié dans
la condition et dans le tableau des conditions
d'application de la norme PCI DSS.
Clarification de l'obligation d'utiliser le hachage
ou la troncature pour rendre le PAN illisible.
Ajout d'une remarque identifiant le risque de
conserver les versions tronquée et hachée d'un
PAN dans le même environnement et l'obligation
de mettre en place des contrôles
supplémentaires pour garantir qu'il est
impossible de reconstituer le PAN d'origine.
Importation de procédures de test de la norme
PCI DSS afin de créer les nouvelles
procédures 2.3.a à 2.3.e.
Clarification
Procédures de test
Suppression de la référence à la norme PCI DSS et
reformulation des procédures de test PCI DSS afin
de créer les nouvelles procédures 2.4.a à 2.4.c,
adaptées aux applications de paiement.
Clarification
Indication qu'il est nécessaire de protéger les
clés utilisées pour protéger les données de
titulaires de cartes de la divulgation et de
l'utilisation illicites.
Ajout d'une remarque afin de clarifier la manière
dont cette obligation s'applique aux clés de
cryptage de clés si elles sont utilisées.
Suppression de la référence à la norme PCI
DSS, importation et reformulation des
procédures de test PCI DSS afin de créer les
nouvelles procédures 2.5.a à 2.5.c, adaptées
aux applications de paiement.
Clarification
procédures de test PCI DSS afin de créer les
nouvelles procédures 2.6.1 à 2.6.7, adaptées
aux applications de paiement.
Ajout de la documentation du Guide de mise en
œuvre de la norme PA-DSS à la procédure de
test 2.6.a, et renumérotation de l'ancienne
procédure 2.6.a en 2.6.b.
Clarification
Octobre 2010
Page 5 sur 11
Ancienne
Nouvelle
2.7
2.7
3.1
3.1.a – 3.1.c
3.2
4.1
3.1,
3.1.1 – 3.1.10
3.1.a – 3.1.d
3.2
4.1,
4.1.a – 4.1.b
Modification
Type
i
Clarification de l'ancienne formulation de
suppression sécurisée afin de préciser qu'elle
signifie un outil ou un processus rendant
irrécupérables les clés cryptographiques ou les
éléments stockés par des versions précédentes
de l'application de paiement.
Ajout de « suppression de clé de cryptage de
clé » comme exemple d'éléments de clés
cryptographiques ou de cryptogrammes
irrécupérables.
Clarification
procédures de test PCI DSS afin de créer de
nouveaux alinéas de condition et les
procédures 3.1.1 à 3.1.10, adaptés aux
applications de paiement.
Clarification du fait que l'authentification
sécurisée doit être exigée pour tous les comptes,
générés ou gérés par l'application, dès la fin de
l'installation et lors des changements ultérieurs à
l'installation.
Clarification
Procédures de test
Déplacement de la procédure de test 3.1.c
en 3.1.a pour répondre à la documentation du
Guide de mise en œuvre de la norme PA-DSS,
et clarification du contenu pour l'harmoniser avec
les alinéas de condition importés.
Déplacement de la procédure de test 3.1.a
en 3.1.d pour l'harmoniser avec les alinéas de
condition importés et ajout de la clarification du
test indiquant qu'une authentification sécurisée
est appliquée dès la fin de l'installation et lors
des changements ultérieurs à l'installation.
Ajout d'une nouvelle procédure de test au
paragraphe 3.1.c afin de vérifier que l'application
de paiement applique les changements aux
comptes par défaut.
Clarification
Condition
Clarification du fait que cette condition concerne les
instructions données par le fournisseur à ses clients.
Clarification
Procédures de test
Déplacement de la procédure de test de 4.2.b
à 4.1.b pour s'aligner sur la restructuration des
conditions. Modifications mineures de vocabulaire
pour plus de clarté.
Clarification
Octobre 2010
Page 6 sur 11
Ancienne
Nouvelle
4.2
4.2,
4.2.1 – 4.2.7
4.2
S.O
5.1
5.1.1
5.1.2 – 5.1.3
5.1.1 – 5.1.7
5.1.4
4.3,
4.3.1 – 4.3.6
4.4
5.1
S.O
S.O
5.1.1 – 5.1.4
5.1.1
i
Modification
Type
Clarification des informations spécifiques à
intégrer aux fichiers de journaux.
procédures de test PCI DSS afin de créer de
nouveaux alinéas de condition et procédures de
test 4.2.1 à 4.2.7, adaptées aux applications de
paiement.
Clarification
Clarification des informations spécifiques à
intégrer aux fichiers de journaux.
procédures de test PCI DSS afin de créer une
nouvelle condition, de nouveaux alinéas de
condition et procédures de test 4.3.1 à 4.3.6,
adaptées aux applications de paiement.
Clarification
Nouvelle condition et procédures de test
Ajout d'une nouvelle condition pour exiger des
applications de test qu'elles permettent la
journalisation centralisée, en harmonisation avec la
condition 10.5.3 de la norme PCI DSS.
Évolution de la
condition
Mise à jour correspondant à la condition 6.3 de la
norme PCI DSS
Suppression du point 5.1.1, le test des vulnérabilités
étant maintenant couvert dans les points 5.2.1
à 5.2.9.
Suppression pour plus de clarté, l'environnement de
production n'étant pas applicable aux développeurs
d'application dans le cadre de la norme PA-DSS.
Clarification
Clarification
Clarification
Nouvelle numérotation en raison de la suppression
des anciennes conditions 5.1.1 à 5.1.3.
Clarification
Procédure de test
Suppression de l'expression « ou sont expurgées
avant usage » pour plus de clarté.
Clarification
Octobre 2010
Page 7 sur 11
Ancienne
Nouvelle
5.1.5
5.1.2
5.1.7
5.2
5.2.1 –
5.2.10
S.O
5.3.2
5.1.4
5.2
5.2.1 – 5.2.9
5.2.6
5.3.2
i
Modification
Type
Clarification du fait que la suppression des données
de test et des comptes doit être exécutée avant la
« mise à la disposition du client ».
Clarification
Regroupement des procédures de test
(anciennement 5.1.7.a et 5.1.7.b) en une seule
procédure 5.1.4.a, afin de combiner les
applications « internes » et « Web » en une
procédure unique, et suppression de l'ancienne
procédure de test 5.1.7.b, devenue redondante.
Suppression de la référence spécifique aux
applications Web et au guide OWASP afin de
regrouper les conditions de codage sécurisé des
applications du champ d'application, y compris
des applications non Web.
Clarification
Clarification du fait que le codage sécurisé et la
prévention des vulnérabilités s'appliquent à tous
les types d'applications développées et
personnalisées du champ d'application, au lieu
de ne concerner que les applications Web.
Suppression de la dépendance de l'OWASP et
mention d'autres exemples du secteur, SANS,
CWE et CERT.
Clarification
Mise à jour des anciennes vulnérabilités 5.2.1
à 5.2.10, combinées à l'ancienne condition 5.1.1
afin de refléter les actuelles directives des
organismes CWE, CERT et OWASP.
Les conditions 5.2.7 à 5.2.9 ont été identifiées
comme des vulnérabilités spécifiques des
applications Web.
Clarification
Ajout de la nouvelle condition 5.2.6 afin de répondre
aux vulnérabilités de risque élevé identifiées par la
condition 7.1.
Évolution de la
condition
Clarification de la condition et de la procédure de
test, indiquant qu'une approbation documentée est
requise des « parties autorisées » au lieu des
« responsables ».
Clarification
Octobre 2010
Page 8 sur 11
Ancienne
Nouvelle
5.3.3
5.3.3,
5.3.3.a –
5.3.3.b
5.4
6.1
6.2
7.1
5.4
6.1,
6.1.a – 6.1.f
6.2
7.1,
7.1.a – 7.1.d
i
Modification
Type
Clarification de l'objectif de la condition et
procédure de test 5.3.3.a exigeant un test de
fonctionnalité pour vérifier que le changement ne
compromet pas la sécurité du système.
L'ancienne condition 5.1.1 a été fusionnée avec
la nouvelle procédure de test 5.3.3.b, afin de
traiter le test des changements conformément à
la condition 5.2.
Clarification
Indication que seuls les services, protocoles,
démons, etc., nécessaires et sécurisés doivent
être activés et clarification des fonctions de
sécurité déployées pour les services, etc., non
sécurisés.
Scission de la procédure de test 5.4 en
procédures individuelles 5.4.a et 5.4.b, et
clarification de la procédure de test 5.4.b vérifiant
que tous les services nécessaires prêts à
l'emploi sont configurés de manière sécurisée.
Ajout de la procédure de test 5.4.c pour vérifier
que le Guide de mise en œuvre de la norme PADSS documente tous les protocoles, services et
composants ainsi que les logiciel et matériel
dépendants.
Clarification
Procédures de test
Suppression de la référence à la norme PCI DSS
et importation des procédures de test PCI DSS
afin de créer les nouvelles procédures 6.1.a
à 6.1.f, adaptées aux applications de paiement.
Mise à jour de la procédure de test 6.1.f pour
clarifier les instructions à intégrer au Guide de
mise en œuvre de la norme PA-DSS.
Clarification
Mise à jour de la remarque concernant
l'utilisation du WEP depuis le 30 juin 2010.
Suppression de la référence à la norme PCI DSS
dans la procédure de test 6.2.b et clarification
des éléments à intégrer au Guide de mise en
œuvre de la norme PA-DSS.
Clarification
Mise à jour de la condition afin de garantir que les
vulnérabilités identifiées sont classées en fonction du
risque. Ajout de la procédure de test 7.1.a pour
l'harmoniser à la condition.
Scission de l'ancienne procédure de test 7.1 en
procédures individuelles, 7.1.a à 7.1.d.
Évolution de la
condition
Octobre 2010
Page 9 sur 11
Ancienne
Nouvelle
7.2.a – 7.2.b
7.2.a – 7.2.e
10, 11
10, 11
12, 13, 14
12.1
12.2
10
10
11, 12, 13
11.1
11.2
Modification
Type
i
Procédures de test
Scission de l'ancienne procédure de test 7.2 en
procédures individuelles, 7.2.a à 7.2.d.
Nouvelle numérotation de l'ancienne procédure de
test 7.2.b en 7.2.e.
Clarification
Fusion des conditions 10 et 11 pour éliminer les
redondances. La condition 10.1 initiale est
maintenant la condition 10.3.1.
Clarification
Nouvelle numérotation de l'ancien point 11.1
en 10.1. Clarification du fait que l'application de
paiement ne doit pas interférer avec l'utilisation
des technologies d'authentification à deux
facteurs pour l'accès à distance sécurisé. Mise à
jour de l'exemple en « Radius avec tokens ».
Nouvelle numérotation de l'ancien point 11.2
en 10.2. Aucune modification du contenu.
Ajout de la condition apparentée 10.3 sur l'accès
à distance à l'application de paiement. Les
anciennes conditions 10.1 et 11.3 ont été
renumérotées en 10.3.1 et 10.3.2,
respectivement. Aucune modification du
contenu.
Les exemples ont été déplacés de la colonne
procédure de test à la colonne condition.
Clarification
Les anciennes conditions 12, 13 et 14 ont été
renumérotées en 11, 12 et 13 respectivement, après
la fusion des conditions 10 et 11.
Clarification
Mention du SSH comme exemple de protocole
de sécurité et suppression des exemples dans la
procédure de test.
Clarification de la terminologie « cryptographie et
protocoles de sécurité robustes » par souci de
cohérence.
Clarification
Conditions
Clarification du fait que la condition s'applique si
l'application de paiement autorise l'envoi de PAN par
des technologies de messagerie de l'utilisateur final
et que la solution doit rendre le PAN illisible ou
mettre en place une cryptographie robuste.
Clarification
Octobre 2010
Page 10 sur 11
Ancienne
Nouvelle
13.1
12.1
Annexe A
Annexe A
Annexe B
Annexe B
Annexe B
Annexe B
Annexe B
Annexe C
i
Annexe B
Attestation de
conformité
Modification
Type
i
Clarification de la terminologie « cryptographie et
protocoles de sécurité robustes » par souci de
cohérence.
Clarification
Toutes les conditions
Mise à jour du contenu du Guide de mise en
œuvre de la norme PA-DSS afin de refléter les
modifications apportées aux conditions de la
norme PA-DSS.
Mise à jour des références à la norme PCI DSS
afin de refléter les conditions de la norme PADSS.
Clarification
Point 5.b
Réintégration des procédures de laboratoires qui ont
été omises de manière erronée dans la précédente
version.
Clarification
Point 6.b
Mise à jour de la référence relative aux vulnérabilités
afin de supprimer la dépendance à l'OWASP
seulement, selon les modifications apportées aux
conditions 5.1 et 5.2 de la norme PA-DSS.
Clarification
Point 7.c
Clarification apportée indiquant que le PA-QSA doit
valider l'installation appropriée du laboratoire à
distance afin de garantir que l'environnement simule
vraiment une situation en conditions réelles.
Clarification
Supprimée de l'annexe
Réorganisation du format afin de fournir les
informations du fournisseur de l'application avant
celles du PA-QSA.
Clarification
Explications de « Type » :
Nouveau type
Ancien type
Définition
Clarification
Clarification
Clarification de l’objectif de la condition. Garantit que la rédaction
concise de la norme reflète l'objectif des conditions.
Directives
supplémentaires
Explicatif
Explications et/ou définitions permettant une meilleure
compréhension ou délivrant une meilleure information sur un sujet
particulier.
Évolution de la
condition
Améliorations
Modifications garantissant que les normes sont à jour et tiennent
compte des nouvelles menaces et de l'évolution du marché.
Octobre 2010
Page 11 sur 11

Payment Application Data Security Standard

Transcription

Documents pareils

Flash Info - Le Président Alpha Condé ouvre les travaux du Forum

Les compétences de base en communication

Recrutement par approche directe ou par annonce Notre avantage

Revision des regles en matiere de publicite

Bilan de compétences Graines de RH

ADDI DATA

Announcement: Payment Credit Card Industry (PCI)

incidence de certains traitements de clarification sur

Etude de faisabilité sur la réintégration des mineurs isolés

MT5634ZPX-PCI-U (Page 1)