accepting_payments hosted_tokenization hosted_tokenization hosted_price info_services hosted_paypage accepting_payments account_padlock account_padlock_hover_teal account_setup account_setup account_setup_black account_setup_teal alert_red alert_yellow benefits_balance benefits_balance benefits_health benefits_health_white benefits_pay benefits_pay_white benefits_perks business_convenience Install business_retail business_showroom business_takeout business_warehouse call_us_dark_blue call_us_teal call_us_white carousel_button_pause carousel_button_play check_blue check_white checkmark_circle_blue chevron_down_grey chevron_down_normal chevron_down_normal_black chevron_down_normal_dark_blue chevron_down_normal_hover_teal chevron_left_bold_dark_blue chevron_left_normal_black chevron_left_normal_white chevron_right_bold_dark_blue chevron_right_normal_black chevron_right_normal_white chevron_right_skinny chevron_up_normal chevron_up_normal_black chevron_up_normal_dark_blue chevron_up_normal_hover_teal circle_1_grey circle_1_teal circle_2_grey circle_2_teal circle_3_grey circle_3_teal clock_black close_x close_x_dark_blue close_x_hover_teal divot_down divot_left divot_left_outline divot_up email_receipts extra_location icon_fraud icon_fraud extra_register extra_users extra_users facebook flag_canada flag_usa form_checkmark form_checkmark_teal form_error_arrow_up google_plus innovation_api innovation_chip innovation_ecommerce innovation_hosted_pay_page innovation_new_merchant_guides innovation_seamless innovation_support innovation_teal innovation_white innovation_testing innovation_testing_teal linkedin location_pointer logo_moneris_full logo_moneris_full_hover logo_moneris_symbol logo_moneris_symbol_hover mail mail_teal map_marker max_cash_flow menu_hamburger menu_hamburger_hover_teal minus_normal payd_reports payd_reports payment_chip benefits_balance_2 PaydProPlus_report Increased Control Login Login payment_contactless security payment_swipe icon_management_payment people_teal phone_hover_teal phone_white plus_normal product_tracking real_time_report real_time_report_teal real_time_report_white search_magnifying_glass search_magnifying_glass_hover_teal service_billing service_consultation service_custom_dev service_dedicated_support_blue service_flexible_pricing_options_blue service_installation service_revenue_sharing_blue service_training_blue social_facebook social_linkedin social_twitter support_icon take_to_new_website_arrow take_to_new_website_arrow_hover_teal technical_questions technology_teal terminal_spec tips_troubleshooting triangle twitter vid_play_overlay ecommerce increase_sales increase_sales login settings mass_merchandise extra_user email support_icon price_arbitrage gift-card egift-card delivery seamless-gift-card accept-credit-debit max-cash-flow hardware PaydProPlus_report icon-circled_phone financial financial cash business_mgnt_soln information icon-deliver_electronic_data icon-bank icon-ecommerce icon-fraud icon-bank icon-management_payment-solution icon-creat_new_diff icon-maximized_cash_flow icon-credit_card icon-loyalty_card icon-optimized_spend icon-optimized_interchange icon-calendar icon-ppp_reports icon-product_track icon-product_track icon-partners icon-seamless_integration icon-receipt_fraud icon-decal-open icon-decal-open-fr hardware increase_sales elearning lightbulb consultation female settings call
support_landing_bg

Questions courantes sur la norme PA-DSS et le programme PACP de Visa Canada

Qu’est-ce que la norme PA-DSS?

La norme de sécurité des données en matière d'application de paiement – norme PA-DSS (Payment Application Data Security Standard) est une norme gérée par le PCI SSC (Payment Card Industry Security Standards Council – conseil des normes de sécurité de l’industrie des cartes de paiement). Cette norme est fondée sur les pratiques exemplaires relatives aux applications de paiement (Payment Application Best Practices – PABP) de Visa. La norme PA-DSS s’applique aux fournisseurs de logiciels et aux autres fournisseurs qui développent des applications de paiement stockant, traitant ou transmettant des données sur le titulaire de carte dans le cadre d’une autorisation ou d’un règlement, lorsque ces applications de paiement sont vendues, distribuées ou cédées sous licence à des tiers comme des commerçants ou des fournisseurs de services.

Pourquoi les marchands doivent-ils utiliser des applications validées conformes à la norme PA-DSS?

Il a été découvert, au moyen d’enquêtes sur la compromission des données sur le compte, que les applications de paiement vulnérables qui stockent des données interdites constituent la principale cause de compromission des données sur le compte, particulièrement parmi les petits commerçants. L’objectif de la norme PA-DSS est d’aider les fournisseurs de logiciels à développer des applications de paiement sécurisées qui ne stockent pas de données interdites, comme les données complètes de bande magnétique, les valeurs de vérification de carte ou le NIP, et de s’assurer que les applications de paiement soutiennent l’obligation du marchand de se conformer à la norme de sécurité des données en matière d'application de paiement – norme PA-DSS (Payment Application Data Security Standard).

En outre, Visa a établi des règles stipulant que les marchands doivent seulement utiliser des applications validées conformes à la norme PA-DSS au moyen de son programme PACP (Payment Application Compliance Program).

Quelle est la date à laquelle les commerçants doivent avoir mis à niveau leur logiciel à une application validée conforme à la norme PA-DSS?

Le programme PACP de Visa stipule que tous les marchands doivent utiliser des applications validées conformes à la norme PA-DSS le 1er juillet 2010 au plus tard.

Que se produira-t-il si je ne respecte pas les règles du programme PACP de Visa?

Les commerçants qui n’utilisent pas des applications validées conformes à la norme PA-DSS courent des risques accrus de subir des compromissions de données sur le compte, car ils peuvent stocker des données interdites convoitées par les malfaiteurs. De plus, Visa pourrait imposer une amende de non-conformité de 10 000 $ à chaque marchand qui utilise une application non conforme. En outre, si l’entreprise d’un commerçant subit une intrusion entraînant la compromission des données sur le titulaire de carte, les associations de cartes de paiement pourraient imposer des amendes supplémentaires.

Nota : Les services de traitement offerts aux clients actuels ne seront pas interrompus ou discontinués par Moneris pendant que les commerçants mettent leur application de paiement à niveau (à moins que Moneris ne soit dans l’obligation de mettre un terme au service qu’elle offre à un commerçant en raison d’un incident n’ayant rien à voir avec la mise à jour de l’application de paiement). Toutefois, Visa peut, à sa discrétion, imposer des amendes de non-conformité. Les amendes seraient répressives si une enquête effectuée en raison de la compromission des données révélait qu’un marchand utilise une application de paiement non conforme.

Pourquoi suis-je responsable de l’application de paiement? Pourquoi n’appelez-vous pas mon fournisseur de logiciels pour obtenir cette information?

Le marchand est responsable de la conformité avec les règles des associations de cartes. Il a l’obligation de s’assurer que l’application utilisée pour traiter les paiements est conforme à la norme PA-DSS. Cependant, le fournisseur de logiciels est responsable de s’assurer que les logiciels qu’il développe sont conformes à la norme PA-DSS et qu’ils sont évalués pour en valider la conformité. Nous vous recommandons de communiquer avec votre fournisseur ou revendeur de logiciels pour parler de la situation relative à la conformité à la norme PA-DSS de son application.

Qu’est-ce qu’un fournisseur de logiciels?

>Un fournisseur de logiciels est une entreprise qui crée des applications/logiciels. Il peut vendre et soutenir son produit directement ou il peut faire appel à des revendeurs et des intégrateurs à valeur ajoutée pour distribuer, installer et soutenir son produit. Qu’est-ce qu’un intergiciel?

Un intergiciel est une application logicielle souvent utilisée pour permettre la communication entre une application et une passerelle de paiement afin de faciliter les opérations. Le fournisseur d’intergiciels peut vendre et soutenir son produit directement ou il peut faire appel à des revendeurs et des intégrateurs à valeur ajoutée pour distribuer, installer et soutenir son produit.

Qu’est-ce qu’un revendeur à valeur ajoutée?

Un revendeur à valeur ajoutée est une entreprise qui vend, distribue, installe et soutien des produits logiciels pour une entreprise qui développe les applications logicielles.

Où puis-je obtenir une liste des applications de paiement conformes à la norme PA-DSS?

Le PCI SSC publie une liste des applications conformes à la norme PA-DSS sur son site Web. Pour consulter la liste, cliquez sur le lien suivant. Le PCI SSC met régulièrement cette liste à jour. Mon fournisseur de logiciels m’a appelé pour m’informer que je dois mettre à niveau mon application à une version de son logiciel conforme à la norme PA-DSS? Est-ce vrai? À compter du 1er juillet 2010, tous les marchands doivent utiliser des applications de paiement qui ont été validées conformes à la norme PA-DSS. Nous recommandons que vous identifiiez l’application de paiement et la version que vous utilisez actuellement et déterminiez si elle est validée conforme à la norme PA-DSS. Si ce n’est pas le cas, vous devez mettre l’application à niveau à une version validée. Vous avez le choix de mettre à niveau votre application actuelle ou de passer à une nouvelle application. Peu importe, assurez-vous que l’application que vous utilisez figure sur la liste des applications conformes à la norme PA-DSS. Le PCI SSC publie une liste des applications conformes à la norme PA-DSS sur son site Web. Pour consulter la liste.

Mon application logicielle n’est pas conforme à la norme PA-DSS et mon fournisseur de logiciels ne prévoit pas la rendre conforme ou en faire assurer la conformité au moyen du processus de validation. Que dois-je faire?

Si votre fournisseur de logiciels ne prévoit pas assurer la validité de son application à la norme PA-DSS et qu’il n’appuie pas votre obligation d’utiliser des applications conformes à la norme PA-DSS et de respecter les règles du PCI DSS, vous n’aurez pas le choix que d’acheter une nouvelle application de paiement ou de passer à un terminal autonome.

Comment puis-je confirmer que mon application de paiement a été validée conforme à la norme PA-DSS?

Consultez la liste des applications validées que publie le PCI SSC. Veillez à confirmer que l’application et la version listées correspondent à l’application et la version que vous utilisez. Si votre fournisseur de logiciels ne figure pas sur la liste, demandez-lui de vous fournir une confirmation écrite de l’évaluateur de sécurité qualifié des applications de paiement (Payment Application Qualified Security Assessor – PA-QSA) qui a effectué l’évaluation de la conformité à la norme PA-DSS de l’application.

Si je m’inscris auprès de Moneris afin d’ouvrir un compte de commerçant, dois-je confirmer que l’application de paiement que j’utilise a été évaluée pour en valider la conformité à la norme PA-DSS?

Oui. Tout marchand s’inscrivant pour ouvrir un nouveau compte de commerçant auprès de Moneris devra s’assurer que l’application de paiement qu’il utilise est conforme à la norme PA-DSS, pourvu qu’elle y soit assujettie. La norme PA-DSS ne s’applique pas aux applications adaptées sur mesure développées pour un marchand particulier qui ne sont pas offertes commercialement. Elle ne s’applique pas non plus aux terminaux autonomes.