Payment Application Data Security Standard
Transcription
Payment Application Data Security Standard
Payment Card Industry (PCI) Payment Application Data Security Standard Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Octobre 2010 Paragraphe ou condition Ancienne Nouvelle Généralités Généralités Généralités Généralités Généralités Généralités Généralités Généralités Généralités Généralités Généralités Généralités Généralités Généralités i Modification Type Attestation de conformité L'attestation de validation a été supprimée de l'annexe et est maintenant un document à part. Mise à jour en conséquence des références au document. Clarification Objectif de ce document Ajout de la référence aux ressources supplémentaires disponibles sur le site Web du PCI SSC. Directives supplémentaires Relation entre les normes PCI DSS et PA-DSS Ajout d'une phrase afin de clarifier qu'utiliser une application conforme à la seule norme PA DSS n'entraîne pas la conformité de l'entité à la norme PCI DSS. Clarification des données de bande magnétique et/ou des données équivalentes sur la puce. Clarification Champ d'application de la norme PA-DSS Clarification du fait que la norme PA-DSS ne s'applique pas aux applications de paiement développées pour, et vendues à, un seul client, destinées au seul usage de ce client. Clarification Conditions d’application de la norme PA-DSS aux applications de paiement sur les terminaux matériels Paragraphe mis à jour, étendu, clarifié et renommé afin de répondre aux applications de paiement sur les terminaux matériels, où il est possible de satisfaire aux conditions de la norme PA-DSS en dehors de l'application de paiement. Directives supplémentaires Conditions relatives aux évaluateurs de sécurité qualifiés de l'application de paiement (PA-QSA) Déplacement de « Le PA-QSA doit avoir accès au laboratoire où le processus de validation est censé avoir lieu » du paragraphe sur le laboratoire de test à celui des conditions relatives aux PA-QSA. Clarification Laboratoire de test Clarification de l'emplacement des laboratoires de test et de l'obligation pour les PA-QSA de valider l'installation approprié du laboratoire de test. Clarification Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Copyright 2010 PCI Security Standards Council LLC Octobre 2010 Page 2 sur 11 Paragraphe ou condition Ancienne Nouvelle Généralités Généralités Généralités Généralités Toutes les conditions Toutes les conditions Généralités Généralités Toutes les conditions Toutes les conditions i Modification Type Informations relatives aux conditions d’application de la norme PCI DSS Mise à jour pour harmonisation avec la norme PCI DSS. Ajout du terme « données de compte » et d'informations détaillées sur les « données de titulaires de cartes » et « les données d'authentification sensibles ». Clarification du fait que le numéro de compte primaire (PAN) est le facteur déterminant de l'applicabilité de la norme PCI DSS. Ajout du paragraphe (remplaçant l'ancienne note de bas de page) et mise à jour du tableau afin de clarifier les éléments de données qui doivent être rendus illisibles conformément à la condition 3.4 de la norme PCI DSS. Clarification Instructions et contenu du rapport de conformité Au paragraphe 3, ajout de l'obligation d'explication dans le rapport si une condition ne s'applique pas à une application de paiement donnée. Clarification Étapes de mise en conformité avec la norme PADSS Mise à jour de la référence de l'attestation de validation. Clarification Colonne des conditions dans l'ensemble de la norme Nouvelle formulation de chaque remarque mentionnant anciennement Condition X.X de la norme de sécurité des données PCI en « Correspond à la condition X.X de la norme PCI DSS » afin de clarifier les correspondances entre les normes PCI DSS et PA-DSS. Clarification Conditions et procédures de test dans l'ensemble de la norme Partout où il était anciennement mentionné de vérifier une condition PA-DSS « conformément à la condition X.X de la norme PCI DSS », la condition concernée et les procédures de test ont été importées de la norme PCI DSS et reformulées pour les adapter aux applications de paiement. Clarification Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Copyright 2010 PCI Security Standards Council LLC Octobre 2010 Page 3 sur 11 Paragraphe ou condition Ancienne Nouvelle 1.1 1.1 1.1.1 1.1.1 – 1.1.3 1.1.1 – 1.1.3 2.1 1.1.1 1.1.1 – 1.1.3 1.1.1 – 1.1.3 2.1 i Modification Type Condition et procédures de test Ajout d'une remarque afin de clarifier qu'il est acceptable que les émetteurs et les sociétés qui prennent en charge les services d'émission stockent des données d'authentification sensibles si ceci est justifié du point de vue professionnel et que ces données sont stockées de manière sécurisée. Ajout du test 1.1.a pour les émetteurs et les sociétés qui prennent en charge les services d'émission afin de vérifier que l'application de paiement n'est destinée qu'aux émetteurs et/ou sociétés qui prennent en charge les services d'émission. Déplacement de la procédure de test anciennement numérotée 1.1 en 1.1.b, précédée de la mention « Pour toutes les autres applications de paiement ». Clarification Condition et procédure de test Modification de « sur une puce » en « données équivalentes contenues sur une puce ». Clarification Conditions et procédures de test Suppression de références spécifiques au glossaire, d'autres termes du glossaire se trouvant dans l'ensemble de la norme, sans posséder pour autant une référence au glossaire. Clarification Procédures de test Clarification du fait que le test doit comprendre l'examen « d'au moins les types de fichiers suivants ». Clarification Procédure de test Clarification du fait que l'identification de tous les emplacements des données de titulaires de cartes doit comporter des instructions pour la configuration du logiciel sous-jacent afin de prévenir la capture ou la conservation accidentelles de ces données. Clarification Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Copyright 2010 PCI Security Standards Council LLC Octobre 2010 Page 4 sur 11 Paragraphe ou condition Ancienne Nouvelle 2.3 2.3, 2.3.a – 2.3.e 2.4 2.5 2.6 2.4, 2.4.a – 2.4.c 2.5, 2.5.a – 2.5.c 2.6, 2.6.1 – 2.6.7 i Modification Type Condition et procédures de test Clarification du fait que la condition s'applique uniquement au PAN. Suppression de la remarque sur les informations de compte minimales, ceci ayant été clarifié dans la condition et dans le tableau des conditions d'application de la norme PCI DSS. Clarification de l'obligation d'utiliser le hachage ou la troncature pour rendre le PAN illisible. Ajout d'une remarque identifiant le risque de conserver les versions tronquée et hachée d'un PAN dans le même environnement et l'obligation de mettre en place des contrôles supplémentaires pour garantir qu'il est impossible de reconstituer le PAN d'origine. Importation de procédures de test de la norme PCI DSS afin de créer les nouvelles procédures 2.3.a à 2.3.e. Clarification Procédures de test Suppression de la référence à la norme PCI DSS et reformulation des procédures de test PCI DSS afin de créer les nouvelles procédures 2.4.a à 2.4.c, adaptées aux applications de paiement. Clarification Condition et procédures de test Indication qu'il est nécessaire de protéger les clés utilisées pour protéger les données de titulaires de cartes de la divulgation et de l'utilisation illicites. Ajout d'une remarque afin de clarifier la manière dont cette obligation s'applique aux clés de cryptage de clés si elles sont utilisées. Suppression de la référence à la norme PCI DSS, importation et reformulation des procédures de test PCI DSS afin de créer les nouvelles procédures 2.5.a à 2.5.c, adaptées aux applications de paiement. Clarification Conditions et procédures de test Suppression de la référence à la norme PCI DSS, importation et reformulation des procédures de test PCI DSS afin de créer les nouvelles procédures 2.6.1 à 2.6.7, adaptées aux applications de paiement. Ajout de la documentation du Guide de mise en œuvre de la norme PA-DSS à la procédure de test 2.6.a, et renumérotation de l'ancienne procédure 2.6.a en 2.6.b. Clarification Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Copyright 2010 PCI Security Standards Council LLC Octobre 2010 Page 5 sur 11 Paragraphe ou condition Ancienne Nouvelle 2.7 2.7 3.1 3.1.a – 3.1.c 3.2 4.1 3.1, 3.1.1 – 3.1.10 3.1.a – 3.1.d 3.2 4.1, 4.1.a – 4.1.b Modification Type i Condition et procédures de test Clarification de l'ancienne formulation de suppression sécurisée afin de préciser qu'elle signifie un outil ou un processus rendant irrécupérables les clés cryptographiques ou les éléments stockés par des versions précédentes de l'application de paiement. Ajout de « suppression de clé de cryptage de clé » comme exemple d'éléments de clés cryptographiques ou de cryptogrammes irrécupérables. Clarification Conditions et procédures de test Suppression de la référence à la norme PCI DSS, importation et reformulation des procédures de test PCI DSS afin de créer de nouveaux alinéas de condition et les procédures 3.1.1 à 3.1.10, adaptés aux applications de paiement. Clarification du fait que l'authentification sécurisée doit être exigée pour tous les comptes, générés ou gérés par l'application, dès la fin de l'installation et lors des changements ultérieurs à l'installation. Clarification Procédures de test Déplacement de la procédure de test 3.1.c en 3.1.a pour répondre à la documentation du Guide de mise en œuvre de la norme PA-DSS, et clarification du contenu pour l'harmoniser avec les alinéas de condition importés. Déplacement de la procédure de test 3.1.a en 3.1.d pour l'harmoniser avec les alinéas de condition importés et ajout de la clarification du test indiquant qu'une authentification sécurisée est appliquée dès la fin de l'installation et lors des changements ultérieurs à l'installation. Ajout d'une nouvelle procédure de test au paragraphe 3.1.c afin de vérifier que l'application de paiement applique les changements aux comptes par défaut. Clarification Condition Clarification du fait que cette condition concerne les instructions données par le fournisseur à ses clients. Clarification Procédures de test Déplacement de la procédure de test de 4.2.b à 4.1.b pour s'aligner sur la restructuration des conditions. Modifications mineures de vocabulaire pour plus de clarté. Clarification Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Copyright 2010 PCI Security Standards Council LLC Octobre 2010 Page 6 sur 11 Paragraphe ou condition Ancienne Nouvelle 4.2 4.2, 4.2.1 – 4.2.7 4.2 S.O 5.1 5.1.1 5.1.2 – 5.1.3 5.1.1 – 5.1.7 5.1.4 4.3, 4.3.1 – 4.3.6 4.4 5.1 S.O S.O 5.1.1 – 5.1.4 5.1.1 i Modification Type Conditions et procédures de test Clarification des informations spécifiques à intégrer aux fichiers de journaux. Suppression de la référence à la norme PCI DSS, importation et reformulation des procédures de test PCI DSS afin de créer de nouveaux alinéas de condition et procédures de test 4.2.1 à 4.2.7, adaptées aux applications de paiement. Clarification Conditions et procédures de test Clarification des informations spécifiques à intégrer aux fichiers de journaux. Suppression de la référence à la norme PCI DSS, importation et reformulation des procédures de test PCI DSS afin de créer une nouvelle condition, de nouveaux alinéas de condition et procédures de test 4.3.1 à 4.3.6, adaptées aux applications de paiement. Clarification Nouvelle condition et procédures de test Ajout d'une nouvelle condition pour exiger des applications de test qu'elles permettent la journalisation centralisée, en harmonisation avec la condition 10.5.3 de la norme PCI DSS. Évolution de la condition Conditions et procédures de test Mise à jour correspondant à la condition 6.3 de la norme PCI DSS Conditions et procédures de test Suppression du point 5.1.1, le test des vulnérabilités étant maintenant couvert dans les points 5.2.1 à 5.2.9. Conditions et procédures de test Suppression pour plus de clarté, l'environnement de production n'étant pas applicable aux développeurs d'application dans le cadre de la norme PA-DSS. Clarification Clarification Clarification Conditions et procédures de test Nouvelle numérotation en raison de la suppression des anciennes conditions 5.1.1 à 5.1.3. Clarification Procédure de test Suppression de l'expression « ou sont expurgées avant usage » pour plus de clarté. Clarification Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Copyright 2010 PCI Security Standards Council LLC Octobre 2010 Page 7 sur 11 Paragraphe ou condition Ancienne Nouvelle 5.1.5 5.1.2 5.1.7 5.2 5.2.1 – 5.2.10 S.O 5.3.2 5.1.4 5.2 5.2.1 – 5.2.9 5.2.6 5.3.2 i Modification Type Condition et procédure de test Clarification du fait que la suppression des données de test et des comptes doit être exécutée avant la « mise à la disposition du client ». Clarification Conditions et procédures de test Regroupement des procédures de test (anciennement 5.1.7.a et 5.1.7.b) en une seule procédure 5.1.4.a, afin de combiner les applications « internes » et « Web » en une procédure unique, et suppression de l'ancienne procédure de test 5.1.7.b, devenue redondante. Suppression de la référence spécifique aux applications Web et au guide OWASP afin de regrouper les conditions de codage sécurisé des applications du champ d'application, y compris des applications non Web. Clarification Condition et procédures de test Clarification du fait que le codage sécurisé et la prévention des vulnérabilités s'appliquent à tous les types d'applications développées et personnalisées du champ d'application, au lieu de ne concerner que les applications Web. Suppression de la dépendance de l'OWASP et mention d'autres exemples du secteur, SANS, CWE et CERT. Clarification Conditions et procédures de test Mise à jour des anciennes vulnérabilités 5.2.1 à 5.2.10, combinées à l'ancienne condition 5.1.1 afin de refléter les actuelles directives des organismes CWE, CERT et OWASP. Les conditions 5.2.7 à 5.2.9 ont été identifiées comme des vulnérabilités spécifiques des applications Web. Clarification Condition et procédure de test Ajout de la nouvelle condition 5.2.6 afin de répondre aux vulnérabilités de risque élevé identifiées par la condition 7.1. Évolution de la condition Conditions et procédures de test Clarification de la condition et de la procédure de test, indiquant qu'une approbation documentée est requise des « parties autorisées » au lieu des « responsables ». Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Copyright 2010 PCI Security Standards Council LLC Clarification Octobre 2010 Page 8 sur 11 Paragraphe ou condition Ancienne Nouvelle 5.3.3 5.3.3, 5.3.3.a – 5.3.3.b 5.4 6.1 6.2 7.1 5.4 6.1, 6.1.a – 6.1.f 6.2 7.1, 7.1.a – 7.1.d i Modification Type Conditions et procédures de test Clarification de l'objectif de la condition et procédure de test 5.3.3.a exigeant un test de fonctionnalité pour vérifier que le changement ne compromet pas la sécurité du système. L'ancienne condition 5.1.1 a été fusionnée avec la nouvelle procédure de test 5.3.3.b, afin de traiter le test des changements conformément à la condition 5.2. Clarification Conditions et procédures de test Indication que seuls les services, protocoles, démons, etc., nécessaires et sécurisés doivent être activés et clarification des fonctions de sécurité déployées pour les services, etc., non sécurisés. Scission de la procédure de test 5.4 en procédures individuelles 5.4.a et 5.4.b, et clarification de la procédure de test 5.4.b vérifiant que tous les services nécessaires prêts à l'emploi sont configurés de manière sécurisée. Ajout de la procédure de test 5.4.c pour vérifier que le Guide de mise en œuvre de la norme PADSS documente tous les protocoles, services et composants ainsi que les logiciel et matériel dépendants. Clarification Procédures de test Suppression de la référence à la norme PCI DSS et importation des procédures de test PCI DSS afin de créer les nouvelles procédures 6.1.a à 6.1.f, adaptées aux applications de paiement. Mise à jour de la procédure de test 6.1.f pour clarifier les instructions à intégrer au Guide de mise en œuvre de la norme PA-DSS. Clarification Conditions et procédures de test Mise à jour de la remarque concernant l'utilisation du WEP depuis le 30 juin 2010. Suppression de la référence à la norme PCI DSS dans la procédure de test 6.2.b et clarification des éléments à intégrer au Guide de mise en œuvre de la norme PA-DSS. Clarification Conditions et procédures de test Mise à jour de la condition afin de garantir que les vulnérabilités identifiées sont classées en fonction du risque. Ajout de la procédure de test 7.1.a pour l'harmoniser à la condition. Scission de l'ancienne procédure de test 7.1 en procédures individuelles, 7.1.a à 7.1.d. Évolution de la condition Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Copyright 2010 PCI Security Standards Council LLC Octobre 2010 Page 9 sur 11 Paragraphe ou condition Ancienne Nouvelle 7.2.a – 7.2.b 7.2.a – 7.2.e 10, 11 10, 11 12, 13, 14 12.1 12.2 10 10 11, 12, 13 11.1 11.2 Modification Type i Procédures de test Scission de l'ancienne procédure de test 7.2 en procédures individuelles, 7.2.a à 7.2.d. Nouvelle numérotation de l'ancienne procédure de test 7.2.b en 7.2.e. Clarification Conditions et procédures de test Fusion des conditions 10 et 11 pour éliminer les redondances. La condition 10.1 initiale est maintenant la condition 10.3.1. Clarification Conditions et procédures de test Nouvelle numérotation de l'ancien point 11.1 en 10.1. Clarification du fait que l'application de paiement ne doit pas interférer avec l'utilisation des technologies d'authentification à deux facteurs pour l'accès à distance sécurisé. Mise à jour de l'exemple en « Radius avec tokens ». Nouvelle numérotation de l'ancien point 11.2 en 10.2. Aucune modification du contenu. Ajout de la condition apparentée 10.3 sur l'accès à distance à l'application de paiement. Les anciennes conditions 10.1 et 11.3 ont été renumérotées en 10.3.1 et 10.3.2, respectivement. Aucune modification du contenu. Les exemples ont été déplacés de la colonne procédure de test à la colonne condition. Clarification Conditions et procédures de test Les anciennes conditions 12, 13 et 14 ont été renumérotées en 11, 12 et 13 respectivement, après la fusion des conditions 10 et 11. Clarification Conditions et procédures de test Mention du SSH comme exemple de protocole de sécurité et suppression des exemples dans la procédure de test. Clarification de la terminologie « cryptographie et protocoles de sécurité robustes » par souci de cohérence. Clarification Conditions Clarification du fait que la condition s'applique si l'application de paiement autorise l'envoi de PAN par des technologies de messagerie de l'utilisateur final et que la solution doit rendre le PAN illisible ou mettre en place une cryptographie robuste. Clarification Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Copyright 2010 PCI Security Standards Council LLC Octobre 2010 Page 10 sur 11 Paragraphe ou condition Ancienne Nouvelle 13.1 12.1 Annexe A Annexe A Annexe B Annexe B Annexe B Annexe B Annexe B Annexe C i Annexe B Attestation de conformité Modification Type i Conditions et procédures de test Clarification de la terminologie « cryptographie et protocoles de sécurité robustes » par souci de cohérence. Clarification Toutes les conditions Mise à jour du contenu du Guide de mise en œuvre de la norme PA-DSS afin de refléter les modifications apportées aux conditions de la norme PA-DSS. Mise à jour des références à la norme PCI DSS afin de refléter les conditions de la norme PADSS. Clarification Point 5.b Réintégration des procédures de laboratoires qui ont été omises de manière erronée dans la précédente version. Clarification Point 6.b Mise à jour de la référence relative aux vulnérabilités afin de supprimer la dépendance à l'OWASP seulement, selon les modifications apportées aux conditions 5.1 et 5.2 de la norme PA-DSS. Clarification Point 7.c Clarification apportée indiquant que le PA-QSA doit valider l'installation appropriée du laboratoire à distance afin de garantir que l'environnement simule vraiment une situation en conditions réelles. Clarification Supprimée de l'annexe Réorganisation du format afin de fournir les informations du fournisseur de l'application avant celles du PA-QSA. Clarification Explications de « Type » : Nouveau type Ancien type Définition Clarification Clarification Clarification de l’objectif de la condition. Garantit que la rédaction concise de la norme reflète l'objectif des conditions. Directives supplémentaires Explicatif Explications et/ou définitions permettant une meilleure compréhension ou délivrant une meilleure information sur un sujet particulier. Évolution de la condition Améliorations Modifications garantissant que les normes sont à jour et tiennent compte des nouvelles menaces et de l'évolution du marché. Récapitulatif des changements entre les versions 1.2.1 et 2.0 de la norme PA-DSS Copyright 2010 PCI Security Standards Council LLC Octobre 2010 Page 11 sur 11