¿Cuándo expira una aplicación certificada por PA-DSS?

Question

¿Cuándo expira una aplicación certificada por PA-DSS?

#1 de gowenfawr (3 votos)

0

Cuando busca en el sitio web de PCI las aplicaciones de pago validadas, muestra una fecha de revalidación y una fecha de caducidad. También hay dos categorías de aplicaciones de pago, "Aceptable para nuevas implementaciones" y "Aceptable solo para implementaciones preexistentes".

Hay aplicaciones enumeradas que han pasado la fecha de caducidad. Estos están en la sección Implementaciones preexistentes. ¿Esto significa que siempre que la aplicación se haya instalado antes de la fecha de caducidad, puede usarla y cumplirla todo el tiempo que desee y no tener que actualizar a la última versión? De la lectura de los documentos de PCI en esto suena como que es el caso. Pero eso realmente no tiene sentido para mí. Cualquier conocimiento de los expertos de PCI sería útil.

pci-dss compliance

pregunta Timee 31.12.2013 - 18:52

fuente

1 respuesta

Lea otras preguntas en las etiquetas pci-dss compliance

¿Es una mala práctica usar la misma contraseña en diferentes sitios? Autenticación de Advantage Mutual sobre PSK [duplicado]

score 3 · Accepted Answer

Lo tiene correctamente: si instala una aplicación PA-DSS aprobada durante su fase de "Aceptable para nuevas implementaciones", entonces puede continuar usándola indefinidamente. Para citar la Guía del programa PA-DSS :

There is currently no sunset date for PA-DSS validated payment
applications that were on the list at the time of deployment.
Deployed payment applications that expire may continue to be
used. The expiration timeframe is associated with new
purchases/deployments, not existing deployments.

Por supuesto, como la Guía del programa y la Requisitos y procedimientos de evaluación de seguridad :

A PA-DSS compliant payment application alone 
is no guarantee of PCI DSS compliance.

Es probable que la antigüedad y el estado no mantenido de una antigua aplicación compatible con PA-DSS sea un factor para su QSA, especialmente si hay problemas con el software. Su pregunta sugiere que una brecha en la cláusula del abuelo grande no tendría sentido, no lo tiene, y la compensación es que su QSA tiene permitido llamar a BS si sienten que el abuelo ha durado bastante.