PA-DSS, est-ce que mon application est éligible à la certification ?

Pour rappel PCI PA-DSS (Payment Application Data Security Standard) est un ensemble d’exigences de sécurité qui s’appliquent aux fournisseurs de logiciels de paiements. Ces exigences de sécurité ont un impact très important sur la conformité PCI DSS des acteurs qui utilisent ces applications.

Une application certifiée PA-DSS permet d’atteindre plus rapidement la conformité PCI DSS à moindre coût mais surtout de transférer certains risques. Par ailleurs l’identification des fournisseurs de logiciels et l’évaluation de leur état de conformité par rapport à PCI DSS et ou PA-DSS reste une étape indispensable à la phase de définition de son périmètre.

A ce titre le PCI SSC a publié en juillet dernier un questionnaire qui permet aux fournisseurs de logiciels de paiements d’évaluer l’éligibilité de leurs applications aux exigences PA-DSS. En d’autres termes si l’application présentée à l’audit PA-DSS n’est pas éligible à la certification PA-DSS le rapport d’audit (Report On Validation) sera rejeté par le PCI SSC.

Il est donc fortement recommandé aux fournisseurs de logiciels d’évaluer l’éligibilité des applications présentées à l'audit avant de s’engager dans une certification PA-DSS, il est également recommandé de s’en assurer auprès d’un PA-QSA (Payment Application Qualified Security Assessor) qui validera ou non cette éligibilité. La pratique démontre néanmoins une incompréhension d’un bon nombre d’acteurs (y compris les réseaux) sujets à PCI DSS qui imposent (parfois contractuellement) à leurs fournisseurs d’applications de paiements la certification PA-DSS alors qu’ils ne sont pas éligibles !

C’est le cas entre autre des PMS pour le domaine de l’hôtellerie pour les réservations, des émetteurs pour les DABs, des fournisseurs de services de paiements pour les solutions de gestion de fraudes …