Payment Applications Data Security Standard er sikkerhetskrav rettet mot leverandører av programvare til betalingsterminaler. Målet er at brukerstedene som benytter PA-DSS godkjente løsninger skal oppfyller PCI DSS. PA-DSS er imidlertid ingen garanti om oppfyllelse av PCI DSS. Det kan være forutsetninger om hvordan løsningen skal installeres og brukes samt at en ikke benytter andre løsninger for håndtering av kortdata.
En PA-DSS godkjent løsning er revidert av ekstern revisor. PA-DSS er en ny standard og ble offentliggjort i Q1 2008. Den har sin opprinnelse i det nordamerikanske markedet. Innløserne i Sverige og Danmark har innført krav om at kun PA-DSS godkjente løsninger skal installeres fra 2010. Tilsvarende krav om PA-DSS godkjente løsninger for Norge er under vurdering. Det er ikke godkjente løsninger tilgjengelige i markedet i dag, men det forventes at leverandørene har fokus på dette og lanserer godkjente løsninger i løpet av 2009.
PA-DSS kravene består av følgende 14 grupper av krav:
1. Do not retain full magnetic strip, card validation code or value (CAV2, CID, CVC2, CVV2) or
PIN block data
2. Protect stored cardholder data
3. Provide secure authentication features
4. Log Payment Application Activity
5. Develop Secure Payment Applications
6. Protect wireless transmissions
7. Test Payment Applications to address vulnerabilities
8. Facilitate secure network implementation
9. Cardholder data must never be stored on a server connected to the Internet
10. Facilitate secure remote software updates
11. Facilitate secure remote access to payment application
12. Encrypt sensitive traffic over public networks
13. Encrypt all non-console administrative access
14. Maintain instructional documentation and training programs for customers, resellers, and integrators
PA DSS
