Quando scade un'applicazione certificata PA-DSS?

Question

Quando scade un'applicazione certificata PA-DSS?

#1 da (3 voti)

0

Quando si esegue una ricerca nel sito Web PCI per le applicazioni di pagamento convalidate, vengono visualizzate una data di convalida e una data di scadenza. Esistono anche due categorie di applicazioni di pagamento, "Accettabile per nuove distribuzioni" e "Accettabile solo per distribuzioni preesistenti".

Ci sono applicazioni elencate che hanno superato la data di scadenza. Questi sono nella sezione Distribuzioni preesistenti. Ciò significa che finché l'applicazione è stata installata prima della data di scadenza è possibile utilizzarla ed essere compatibile per tutto il tempo che desideri e non dover eseguire l'aggiornamento alla versione più recente? Dalla lettura dei documenti PCI su questo sembra che sia così. Ma questo non ha davvero senso per me. Sarebbe utile qualsiasi analisi degli esperti PCI.

pci-dss compliance

posta Timee 31.12.2013 - 18:52

fonte

1 risposta

Leggi altre domande sui tag pci-dss compliance

Password che si estende utilizzando la concatenazione degli hash Trasmissione sicura di dati sensibili

score 3 · Accepted Answer

L'hai ottenuto correttamente: se installi un'applicazione PA-DSS approvata durante la fase "Accettabile per nuove distribuzioni", puoi continuare a utilizzarla a tempo indeterminato. Per citare la Guida al programma PA-DSS :

There is currently no sunset date for PA-DSS validated payment
applications that were on the list at the time of deployment.
Deployed payment applications that expire may continue to be
used. The expiration timeframe is associated with new
purchases/deployments, not existing deployments.

Naturalmente, sia come guida al programma sia come Requisiti e procedure di valutazione della sicurezza state:

A PA-DSS compliant payment application alone 
is no guarantee of PCI DSS compliance.

È probabile che l'età e lo stato non mantenuto di una precedente domanda conforme PA-DSS sia un fattore per il QSA, specialmente se sono stati segnalati problemi con il software. La tua domanda suggerisce che una scappatoia di una clausola del nonno non avrebbe senso - non lo è, e il risarcimento è che al tuo QSA è permesso di chiamare BS se ritengono che il nonno sia andato abbastanza a lungo.