PA-DSS (Payment Application Data Security Standard) agrupa un conjunto de controles de seguridad que los fabricantes de software para aplicaciones de pago habrán de incorporar en sus productos en los próximos años.

Tales controles incluyen sistemas para prevenir que el software de pagos guarde automáticamente ciertos tipos de datos de los propietarios de tarjetas al tiempo que encriptan otras clases de información. Además, PA-DSS proporciona controles de contraseñas más potentes, garantiza la protección de las transacciones wireless y registra la actividad de cada transacción.

A partir del próximo otoño, PCI Security Standards Council empezará a publicar y actualizar una lista de aplicaciones de pago validadas para el estándar.

PA-DSS ha sido diseñado para resolver los problemas de seguridad relacionados con las aplicaciones desarrolladas por terceras partes y utilizadas por los minoristas u otras empresas que aceptan transacciones basadas en tarjetas de crédito. Muchas de ellas son antiguas y carecen de algunos de los controles de seguridad exigidos por las compañías emisoras de las tarjetas bajo el estándar de seguridad de datos PCI.

Por ejemplo, las aplicaciones de pago más antiguas están diseñadas para capturar y almacenar por defecto determinados datos de los propietarios de las tarjetas, lo que entra en contradicción con los principios establecidos por PCI. Además, tales aplicaciones rara vez incorporan capacidades de registro de transacciones, exigido, sin embargo, en PCI.

PA-DSS, antes conocido como Payment Application Best Practices (PABP), fue originariamente desarrollado por Visa, compañía de tarjetas de crédito que ya había validado varios productos para el estándar. Estos productos serán incorporados en la lista de PA-DSS.