Le PCI Security Standards Council publie un Payment Application Data Security StandardLes normes gérées par le conseil augmente la sécurisation des données des titulaires de carte de paiement grâce à un programme mondial d'application de paiement

Le PCI Security Standards Council, un organisme de normes ouvertes de l’industrie présent dans le monde entier, s’occupant de la gestion du Payment Card Industry Data Security Standard (DSS), du PCI PIN Entry Device (PED) Security Requirements et du Payment Application Data Security Standard (PA-DSS), a annoncé aujourd’hui à l’occasion de l’Electronic Transactions Association Annual Meeting and Expo, la parution de la version 1.1 du Payment Application Data Security Standard (PA-DSS). Suite à cela, le Conseil lancera également un programme de maintenance d’une liste d’applications de paiement homologuées. Celle-ci permettra aux acheteurs d’identifier les applications de paiement ayant été homologuées par le PCI SSC et satisfaisant à la norme.

De plus en plus de criminels ciblent les faiblesses des applications de paiement pour s'approprier les données des cartes de paiement, certains logiciels pouvAnt stocker ces données dans un système utilisateur sans le savoir.

« De nombreux marchands et commerçants s’adressent à des fournisseurs de logiciels tiers pour leurs applications de gestion des paiements, » a expliqué J. Joseph Finizio, directeur, Retail Solutions Providers Association. « La gestion par le Conseil d’une liste reconnue mondialement d’applications de paiement facilitera le choix des commerçants parmi les applications de paiement homologuées et acceptées par la plupart des marques de paiement, garantissant ainsi la sécurité des données du titulaire de carte. »

PA-DSS est le programme, aujourd’hui géré par le conseil, dont s’occupait par le passé Visa Inc. et connu sous le nom de Payment Application Best Practices (PABP). PA-DSS a pour mission d’aider les vendeurs de logiciels et autres à développer des applications de paiement sûre ne stockant pas de données interdites, telles que la piste magnétique complète et autres données d’identification sensibles et garantir ainsi qu'elles satisfassent au PCI DSS. Les critères PA-DSS s’appliquent aux applications de paiement vendues, distribuées ou licenciées à des tiers. Les critères PA-DSS ne s’appliquent pas aux applications de paiement de clientèle développées par des commerçants ou prestataires de service n’étant pas vendues à un tiers, ces applications devant de toute manière être sécurisées conformément au PCI DSS.

De plus, lors des mois à venir, le Conseil nommera des sociétés assesseurs appelées Payment Application Qualified Security Assessors (PA-QSAs). Les entreprises approuvées comme PA-QSAs seront reconnues dans une liste mise à jour et publiée par le conseil et autorisées à effectuer des évaluaton PA-DSS conformément aux procédure PA-DSS Security Audit. Toutes les sociétés préalablement identifiées comme des PA-QSAs par Visa PABP devront s’enregistrer et être de nouveau accréditées par un conseil PA-QSA. Les applications de paiement homologuées par le programme PABP de VISA seront automatiquement transférées sur la liste approuvée PCI SSC. Pour de plus amples renseignements sur cette transition, veuillez visiter la section Frequently Asked Questions du site Internet du conseil https://www.pcisecuritystandards.org/pdfs/pci_pa-dss_faqs.pdf.

« La publication du PA-DSS et une procédure bien déterminée pour les PA-QSAs est un autre événement clé pour le conseil, » a déclaré Bob Russo, directeur général, PCI Security Standards Council. « Disposer d’une source unique d’informations sur les applications de paiement et contrôleurs de sécurité apporte de la valeur commerciale aux commerçants et prestataires de services et leur permet de faire des choix informés concernant la sécurité de leur application de paiement. »

Pour de plus amples renseignements :

Pour de plus amples renseingements sur PCI Security Standards Council ou si vous désirez devenir un organisme participant, veuillez visiter le site Internet pcisecuritystandards.org, ou contacter le PCI Security Standards Council à info@pcisecuritystandards.org.

À propos de PCI Security Standards Council

La mission de PCI Security Standards Council est d'améliorer la sécurité des données de paiement par la promotion et l'éducation autour des normes PCI Data Security Standard et autres standards qui augmentent le niveau de sécurité des données de paiement.

Le PCI Security Standards Council a été formé par les grands réseaux de cartes de paiement American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. pour constituer un forum transparent dans lequel les parties intéressées peuvent prendre parr au processus de développement, d’amélioration et de diffusion des normes DSS (PCI Data Security Standard), PED (PIN Entry Device) et PA-DSS (Payment Application Data Security Standard). Commerçants, banques, opérateurs et points de vente sont invités à nous rejoindre en tant qu’organisation participante.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.