05/03/2014

SAQ A-EP : le PCI DSS pour les marchands qui redirigent vers une page de paiement

Le PCI SSC a sorti discrètement un nouveau questionnaire d'auto-évaluation destiné aux marchands : le SAQ A-EP.

Le SAQ A-EP est une évolution du SAQ A:

SAQ A : Card-not-present Merchants, all Cardholder Data Functions Fully Outsourced.


Le SAQ A-EP s'adresse donc aux marchands qui ont choisi (le plus souvent pour s'affranchir des contraintes PCI DSS) de rediriger leurs clients vers une page de paiement hébergée et gérée par un PSP. 
C'est donc un peu la douche froide : le PCI Council insiste désormais sur le fait que, même si le marchand redirige le consommateur, il est toujours responsable de la sécurité de la page web qui effectue cette redirection et qu'il a toujours la responsabilité de sa conformité PCI DSS.

Les marchands qui reçoivent une lettre de leur banque d'acquisition à propos du PCI DSS pourront désormais s'auto-évaluer sur la base du SAQ A-EP ou faire appel à un QSA.

Le SAQ A-EP s'adresse aux 3 modes de redirection utilisés par les marchands :
  • Hosted payment page : Le site marchand redirige le client vers la page web de paiement hébergée par le PSP.
  • Iframe : La page de paiement du PSP est intégrée dynamiquement dans la page de paiement du commerçant.
  • API with Direct Post : Le formulaire de saisie est livré par le serveur du marchand, mais les données postées sont directement envoyées au PSP sans passer le serveur du marchand. Il s'agit par exemple des solutions Direct Post Method (DPM) de Authorize.net ou de l'API AJAX de Payline.

Les marchands qui utilisent l'une des méthodes de redirection ci-dessus sont-ils soumis au PCI DSS ?

Analysons un peu le wording du PCI SSC :

Due to these risks to a merchant’s website and payment card data, even in outsourced scenarios, ** it is recommended  ** that merchants implement applicable PCI DSS controls as needed to ensure the security of the website. (...) it is recommended that merchants implement applicable PCI DSS controls as needed to ensure the security of the website. (...) Merchants should apply extra due diligence to ensure the web application is developed securely and undergoes thorough penetration testing.

La réponse du PCI SSC n'est pas tout à fait nette. On peut en conclure que la banque d'acquisition du marchand peut demander à ce qu'il remplisse le formulaire SAQ A-EP.

Je suis marchand, je pensais que je m'affranchissais complètement du PCI DSS en externalisant, ce n'est plus le cas ?

Il semble en effet que le PCI SSC en ait décidé autrement. Donc, ce n'est plus vraiment le cas : si votre banque demande votre statut par rapport au PCI DSS, il faudra répondre avec le SAQ A-EP.

En externalisant, vous réduisez fortement le risque de piratage des cartes, mais le PCI SSC considère que le risque n'est pas nul car la page de redirection pourrait être modifiée.

Le PCI SSC recommande (mais n'oblige pas) aux marchands de sécuriser leurs serveurs web et la page de redirection. Mais comme le précise le PCI SSC dans son guide e-commerce :

No option completely removes a merchant’s PCI DSS responsibilities. 

Le marchand demeure responsable de sa conformité selon le PCI SSC :

Merchants should understand that outsourcing to a third party via a shared- management implementation does not allow the merchant to outsource PCI DSS responsibility, regardless of whether a merchant is eligible to complete a self-assessment questionnaire (SAQ).


Quelles sont les exigences PCI DSS contenues dans le SAQ A-EP ?

Il s'agit d'une version légèrement allégée du PCI DSS, mais l'essentiel des exigences est présente. Le choix des exigences qui doivent s'appliquer reste, tout d'abord, à la discrétion de la banque d'acquisition (demandez-leur, la réponse peut être intéressante...) et à l'éventuel QSA que vous choisirez pour vous accompagner.

Le PCI SSC distille quelques indications sur les exigences applicables, avec par ordre de priorité :
  1. S'assurer que le PSP choisi est certifié PCI DSS et obtenir qu'il soit écrit dans le contrat qu'il est responsable de la sécurité des données de carte (PCI DSS 12.8)
  2. Isoler le serveur web dans une DMZ dédié et filtrer tous les accès entrants / sortants par un firewall (PCI DSS 1.4)
  3. Monitorer l'intégrité de la page web en charge de la redirection vers le PSP avec un logiciel de contrôle d'intégrité (PCI DSS 11.5)
  4. Forcer HTTPS (SSLv3, TLS 1.2), sur la page de paiement à minima.
  5. Réaliser annuellement des tests d'intrusion par une société tierce spécialisée (PCI DSS 11.3)
  6. Maitriser les comptes et les mots de passe sur les serveurs web (au niveau système et au niveau de l'interface de back-office) (PCI DSS 7.x et 8.x)
  7. S'assurer de la sécurité du développement du site au sens OWASP (PCI DSS 6.5)
  8. ...la suite selon une analyse propre de chaque contexte marchand.
Encore une fois, la liste des exigences applicables dans le SAQ A-EP et le niveau de contrôle dépendront de la banque d'acquisition (la seule entité en droit de demander le SAQ A-EP) et de l'éventuel QSA.


1 commentaire:

  1. La suite ici : http://wearesecure.blogspot.fr/2014/08/saq-saq-ep-saq-d-differences.html

    RépondreSupprimer