Le « PCI Security Standards Council », un organisme œuvrant dans le secteur des normes industrielles ouvertes à l'échelle internationale, a adopté la Norme de sécurité des données en matière d'application de paiement (Payment Application Data Security Standard; « PA-DSS »), anciennement la Pratique exemplaire en matière d'application de paiement (Payment Application Best Practice; « PABP »), qui inclura une liste de toutes les applications de paiement homologuées. Cette liste permettra aux acquéreurs et aux marchands de reconnaître les applications de paiement conformes à la norme PA-DSS (PABP).
Visa Canada a mis en place des règles en vue d'éliminer l'utilisation des applications de paiement vulnérables du système de paiement Visa. Ces règles exigent des marchands « nouveaux participants » d'utiliser des applications de paiement conformes à la norme PA-DSS (PABP) :
La norme PA-DSS s'applique aux fournisseurs de logiciels qui développent des applications de paiement qui stockent, traitent ou communiquent les données sur les titulaires de carte dans le cadre de l'autorisation ou du paiement. De plus, les critères de la norme PA-DSS s'appliquent aux applications de paiement vendues, distribuées ou licenciées à des tiers. Parmi les applications de paiement applicables on retrouve notamment, mais sans s'y restreindre, les logiciels de PDV, les paniers d'achats virtuels et les applications de paiement sur le Web. La norme PA-DSS ne s'applique pas aux applications de paiement développées par des marchands ou des agents si elles sont utilisées à l'interne uniquement (non vendues à un tiers). La norme PA-DSS ne s'applique pas aux terminaux autonomes au PDV.
La conformité des applications de paiement à la norme PA-DSS est fondée sur une évaluation de l'application de paiement par un évaluateur qualifié en matière de sécurité (Payment Application – Qualified Security Assessor; « PA-QSA »).
Pour visionner la liste actuelle des applications de paiement homologuées de PA-DSS, cliquez ici.
Visa n'effectue aucun test ni aucune analyse quant à la fonctionnalité, au rendement ou au caractère adéquat de toute application de paiement listée. Visa n'appuie ni ne recommande les applications de paiement listées ou leurs concepteurs ou distributeurs respectifs. De plus, Visa n'offre aucune garantie ni ne fait aucune déclaration quant à la conformité aux exigences en matière de rendement ou de fonctionnalité de l'application, quant à l'absence d'erreur ou de code malveillant, ou quant à la compatibilité des applications de paiement avec tout autre système ou toute autre application. Visa renonce à toute déclaration faite ou garantie donnée, y compris toute déclaration faite ou garantie donnée par le fournisseur de l'application de paiement.
L'information contenue dans les présentes est fournie « telle quelle » sans garantie, expresse ou implicite, notamment, mais sans s'y restreindre, les garanties implicites de qualité marchande et d'adaptabilité à une utilisation particulière et/ou absence de contrefaçon. L'information contenue dans les présentes est donnée sous réserve de modification par Visa, avec ou sans préavis. Bien que Visa fasse des efforts de bonne foi pour offrir une information précise et complète, il incombe aux marchands ou à quiconque utilisant l'information indiquée dans la liste des applications de paiement homologuées de confirmer l'exactitude d'une telle information, notamment, mais sans s'y restreindre, auprès du fournisseur de l'application de paiement concerné que la version de l'application identifiée ci-dessous est conforme à la norme PA-DSS. L'utilisation d'une ou de plusieurs des applications ci-dessous i) ne garantit ni n'assure la conformité à la norme PCI DSS; et ii) ne satisfait à aucune des obligations des acquéreurs d'effectuer leur propre évaluation et de faire preuve de la prudence nécessaire pour s'assurer que leurs marchands et agents se conforment à la norme NSD ICP.