PA DSS vs. PCI DSS : comprendre les différences essentielles
Dans le monde d'aujourd'hui où de plus en plus de gens font leurs achats en ligne, s'assurer que chaque transaction (et l'application de paiement utilisée) est sécurisée et respecte les exigences du PCI Security Standards Council est une priorité absolue pour toute entreprise.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) et la norme de sécurité des données des applications de paiement (PA DSS) aident les entreprises à atteindre cet objectif — PCI DSS pour sécuriser la gestion des données des titulaires de carte et PA DSS pour garantir que les applications de paiement sont développées et mises en œuvre conformément aux normes de sécurité PCI spécifiques.
En ce qui concerne la compréhension des différences entre PA DSS et PCI DSS, voici ce que vous devez retenir :
- PCI DSS s'applique à toutes les entreprises qui stockent, transmettent et traitent les données des titulaires de carte ou à celles qui peuvent affecter la sécurité des données des titulaires de carte.
- PA DSS ne s'applique qu'aux éditeurs de logiciels et à ceux qui développent des applications de paiement.
Cela semble assez simple, n'est-ce pas ?
Comme pour la plupart des sujets liés au PCI, comprendre pleinement les différences entre PA DSS et PCI DSS implique un peu plus de nuances, que nous expliquerons ci-dessous.
Qu'est-ce que PCI DSS ?
PCI DSS garantit que les entreprises qui stockent, traitent ou transmettent des données de titulaires de carte ou peuvent affecter la sécurité des données des titulaires de carte respectent des exigences PCI DSS spécifiques pour protéger les données des titulaires de carte.
Régie par le Payment Card Industry Security Standards Council (PCI SSC), la norme se compose de 12 exigences pour devenir conforme PCI.
À qui s’applique PCI DSS ?
PCI DSS s'applique à deux types d'entreprises : les commerçants et les prestataires de services.
Les commerçants sont des entreprises qui acceptent des paiements pour biens ou services de l'une des 5 marques de cartes PCI SSC. Les prestataires de services sont des entreprises qui ont soit un accès direct à un environnement de données de titulaire de carte, soit qui peuvent affecter la sécurité de l'environnement des données de titulaire de carte d'une entité.
Dans le cadre de PCI DSS, les entreprises peuvent mieux comprendre leur niveau de risque PCI DSS en examinant les catégories définies en fonction du nombre de transactions qu'elles traitent au cours d'une année donnée.
Il existe quatre niveaux de conformité PCI pour les commerçants, le niveau 1 nécessitant les exigences de rapport les plus strictes et une évaluation complète par une entreprise QSA. Les prestataires de services ont deux niveaux de conformité suivant le même format que les commerçants, le niveau 1 nécessitant un audit externe par une entreprise QSA.
Le guide ultime du PCI DSS
Découvrez tout ce que vous devez savoir sur les exigences, le processus et les coûts de la certification PCI.
Qu'est-ce que PA DSS?
PA DSS est la norme pour les éditeurs de logiciels afin de garantir que les applications de paiement sont testées, évaluées et validées. L'objectif de PA DSS est d'exiger des éditeurs de logiciels qu'ils construisent des applications de paiement conformes aux normes de sécurité PCI et protègent les données des titulaires de cartes dans toute la mesure du possible.
Lorsque les applications de paiement sont conformes à PA DSS et mises en œuvre dans un environnement conforme à PCI DSS, elles peuvent aider à minimiser le risque de violation de données susceptible de compromettre les données des titulaires de cartes. Les éléments tels que les données d'authentification sensibles ne doivent jamais être stockés dans l'application de paiement après l'autorisation, y compris :
- Numéro de compte principal (PAN)
- Données complètes de la piste
- Codes de vérification de carte et valeurs
- NIP et blocs NIP
Pour qu'une application de paiement soit considérée conforme à PA DSS, elle doit être évaluée par un évaluateur de sécurité qualifié pour les applications de paiement certifié (PA-QSA).
Si l'application est conforme, le PA-QSA soumettra un rapport de validation (ROV) détaillant leurs résultats et une attestation de validation (AOV). Un ROV décrit la portée de l'évaluation et chaque exigence, y compris les détails des tests de l'auditeur. L'AOV indiquerait si l'application de paiement a été validée comme conforme à PA DSS, prouvant que l'éditeur de logiciels adhère aux exigences de PA DSS pour gérer en toute sécurité les données des titulaires de cartes via son application de paiement.
Qui est concerné par PA DSS?
PA DSS s'applique aux éditeurs de logiciels et aux entreprises qui développent des applications de paiement qui stockent, traitent ou transmettent des données de titulaires de cartes.
La norme est requise lorsque les applications de paiement sont vendues, distribuées et/ou licenciées à des tiers. Ces applications de paiement sont souvent installées « prêtes à l'emploi » et ne nécessitent pas beaucoup de personnalisation de la part des éditeurs de logiciels eux-mêmes.
En d'autres termes, si vous développez une application de paiement à utiliser au sein de votre propre entreprise, cette application relèverait de PCI DSS.
PA DSS vs PCI DSS : Les principales différences
Avant de nous plonger dans les différences entre PA DSS et PCI DSS, il est important de comprendre comment les deux normes se chevauchent.
PA DSS est une branche des normes de sécurité PCI. Une entreprise qui utilise une application de paiement conforme à PA DSS n'est pas conforme à PCI DSS dans son ensemble et doit encore respecter les 12 exigences de PCI DSS.
Toutes les entreprises qui stockent, transmettent ou traitent des données de titulaires de cartes sont considérées comme entrant dans le champ d'application de PCI DSS, y compris les entreprises qui utilisent une application de paiement conforme à PA DSS. PA DSS exige que les éditeurs de logiciels développent un guide de mise en œuvre que les entreprises doivent suivre lors de la mise en œuvre de l'application de paiement.
Ci-dessous, nous détaillons les principales différences entre les deux normes.
| PA DSS | PCI DSS | |
|---|---|---|
| Definition | Global security standard created to ensure payment applications meet standards for secure handling of cardholder data and businesses implement payment applications securely | Compliance standard created to ensure cardholder data is secured when it’s stored, processed, and transmitted |
| Main goal | Provide cardholder data security requirements that software vendors need to adhere to when developing payment applications | Require business that store, process, transmit, or impact the security of cardholder data to adhere to specific security controls regarding protection of cardholder data |
| Who it applies to | Third-party software vendors and businesses that develop payment applications which store, process, or transmit cardholder data and are sold to third parties | Organizations that store, process, or transmit cardholder data or could impact the security of card transactions |
| Governed by | Payment Card Industry Security Standards Council (PCI SSC) | Payment Card Industry Security Standards Council (PCI SSC) |
| Validation process | Payment application must be audited and certified by a Payment Application Qualified Security Assessor (PA-QSA) | Businesses that must adhere to level 1 compliance will need an external audit performed by a PCI DSS QSA. Other businesses that do not require an external audit can validate with a self assessment questionnare |
Quelles sont les exigences PA DSS?
Il y a 14 exigences PA DSS auxquelles les développeurs de logiciels doivent se conformer afin de créer des applications de paiement conformes.
- Ne pas conserver les données de piste complète, le code ou la valeur de vérification de la carte (CAV2, CID, CVC2, CVV2), ou les données de bloc PIN
- Protéger les données de titulaire de carte stockées
- Fournir des fonctionnalités d'authentification sécurisées
- Enregistrer l'activité de l'application de paiement
- Développer des applications de paiement sécurisées
- Protéger les transmissions sans fil
- Tester les applications de paiement pour corriger les vulnérabilités et maintenir les mises à jour des applications de paiement
- Faciliter la mise en œuvre de réseaux sécurisés
- Ne jamais stocker les données des titulaires de carte sur un serveur connecté à Internet
- Faciliter l'accès à distance sécurisé à l'application de paiement
- Crypter le trafic sensible sur les réseaux publics
- Crypter tous les accès administratifs non-console
- Maintenir un Guide de mise en œuvre PA DSS pour les clients, les revendeurs et les intégrateurs
- Attribuer des responsabilités PA DSS au personnel, et maintenir des programmes de formation pour le personnel, les clients, les revendeurs et les intégrateurs
Quelles sont les exigences PCI DSS?
Il y a 12 exigences de conformité PCI auxquelles les entreprises doivent adhérer afin de se conformer au PCI DSS.
- Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires
- Ne pas utiliser les valeurs par défaut fournies par le vendeur pour les mots de passe et autres paramètres de sécurité
- Protéger les données des titulaires de carte stockées
- Crypter la transmission des données des titulaires de carte sur des réseaux publics ouverts
- Utiliser et mettre à jour régulièrement les logiciels ou programmes antivirus
- Développer et maintenir des systèmes et des applications sécurisés
- Restreindre l'accès aux données des titulaires de carte en fonction des besoins professionnels
- Attribuer un identifiant unique à chaque personne ayant accès à l'ordinateur
- Restreindre l'accès physique aux données des titulaires de carte
- Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte
- Tester régulièrement les systèmes et processus de sécurité
- Maintenir une politique qui traite de la sécurité des informations pour tout le personnel
Lectures recommandées
Liste de contrôle de conformité PCI : Comment atteindre la conformité en 2022
L'avenir de la conformité à PA DSS et PCI DSS
Il y a de grands changements à l'horizon pour la conformité PA DSS et PCI DSS.
L' histoire du PCI a vu une variété de mises à jour pour suivre l'évolution du paysage de l'industrie des cartes de paiement et pour répondre aux menaces de sécurité nouvelles et émergentes.
Nous nous penchons sur les changements à venir pour les deux normes ci-dessous.
Changements à venir pour PCI DSS
La version actuelle de PCI DSS (v3.2.1) sera supprimée et remplacée par PCI DSS v4.0 le 31 mars 2024. Les commerçants et les prestataires de services devront se conformer à la version 4.0 d'ici le 31 mars 2025.
Cette période de transition permet aux entreprises de se familiariser avec la nouvelle version et d'apporter les ajustements nécessaires.
Changements à venir pour PA DSS
L'actuelle version PA DSS (v3.2) sera retirée et remplacée par le cadre de sécurité des logiciels PCI (SSF) en octobre 2022.
Les soumissions pour de nouvelles applications de paiement à valider avec PA DSS ont été fermées le 30 juin 2021. À partir de maintenant, les nouvelles applications de paiement peuvent être validées par une entreprise certifiée SSF listée sur le site web du PCI SSC.
Comment Secureframe peut aider à rationaliser la conformité PCI
Si vous avez du mal à déterminer quelle norme respecter ou comment démarrer votre processus de conformité, nous sommes là pour vous aider.
Notre équipe d'experts en PCI DSS peut vous assister à n'importe quel stade de la conformité PCI de votre entreprise.
Demandez une démo pour découvrir comment Secureframe peut faciliter la conformité pour votre équipe dès aujourd'hui.