DMARC PCI DSS: Nu et obligatorisk krav til version 4.0

I marts 2025 vil DMARC-implementering være obligatorisk i PCI's datasikkerhedsstandarder version 4.0. DMARC, der anbefales af PCI SSC som et fremtidigt krav, beskytter virksomheder mod e-mail-baserede angreb som phishing. Efter deadline skal virksomheder, der behandler kortdata, implementere DMARC for at opnå robust e-mail-autentificering.

A DMARC-politik med p=reject eller p=quarantine er afgørende for at beskytte mod spoofing-angreb. Denne artikel tager dig gennem DMARC PCI DSS-overholdelsesbestemmelserne, og hvorfor det er vigtigt for organisationer at håndhæve databeskyttelse.

Hvad er PCI SSC og PCI DSS-standarden?

PCI SSC er et akronym for Payment Card Industry Security Standards Council og er en global organisation, der etablerer og vedligeholder PCI Data Security Standards (PCI DSS). 

Det kombinerer store kortnetværk, herunder Mastercard, Discover, American Express og Visa, for at udvikle og fremme de sikkerhedsstandarder, der er nødvendige for at beskytte betalingskorttransaktioner.

Hvad er formålet med PCI DSS? 

PCI Data Security Standards er et omfattende sæt af sikkerhedsstandarder, der har til formål at sikre beskyttelsen af kortholderes data under betalingskorttransaktioner.

• Beskyttelse af kortholderes data: PCI DSS's primære mål er at beskytte kortholderes følsomme oplysninger under betalingskorttransaktioner og forhindre uautoriseret adgang eller tyveri.
• Etablering af sikre betalingskortmiljøer: Standarden skitserer krav til forretninger om at etablere og vedligeholde sikre betalingskortmiljøer, herunder sikker netværksinfrastruktur, adgangskontrol og kryptering.
• Implementering af passende sikkerhedsforanstaltninger: PCI DSS kræver specifikke sikkerhedsforanstaltninger såsom firewalls, antivirussoftware og sikker kodningspraksis for at beskytte kortholderdata.
• Vedligeholdelse af løbende sikkerhedspraksis: PCI DSS understreger vigtigheden af løbende at overvåge og vedligeholde sikkerhedsforanstaltninger, herunder regelmæssige sårbarhedsscanninger, penetrationstest og træning i sikkerhedsbevidsthed for medarbejderne.
• Sikring af overholdelse på tværs af betalingskortbranchen: PCI Data Security Standards giver en samlet ramme for overholdelse, der sikrer ensartede sikkerhedsforanstaltninger på tværs af betalingskortbranchen og fremmer tilliden til betalingsøkosystemet.

Kommende krav i PCI DSS v4.0 - hvad er nyt?

PCI DSS v4.0 erstatter PCI DSS version 3.2.1 for at bekæmpe den stigende bekymring for cybersikkerhedstrusler, der orkestreres af sofistikerede teknologier. PCI DSS v4.0 er bedre rustet til at håndtere den seneste teknologiske udvikling inden for cybertrusler og imødegå dem på passende vis. 

Her er en oversigt over ændringerne:

• En skræddersyet tilgang til håndtering af cybersikkerhedsproblemer i forskellige organisationer
• Forbedrede testprocedurer for at sikre robust sikkerhed
• Mere fokus på kontrol af netværkssikkerhed 
• Mere fokus på stærk kryptografi for at sikre kortholderens datasikkerhed 
• Fjernelse af overflødige krav 
• Håndhævelse af DMARC-implementering 

Læs den fulde liste over ændringer: PCI DSS-oversigt over ændringer

Hvornår træder PCI DSS v4.0 i kraft? 

PCI DSS v4.0 træder i fuld kraft fra marts 2025, da den gamle version udløber i marts 2024. Organisationer forventes at migrere til nye politikker og krav for at forblive i overensstemmelse med de seneste ændringer. 

DMARC PCI DSS bedste praksis og anbefalinger

PCI SSC anerkender vigtigheden af DMARC som en best practice for e-mail-godkendelse og anbefaler, at det implementeres for at forbedre sikkerhedsforanstaltningerne.

Ifølge PCI DSS DMARC-retningslinjerne kan virksomheder styrke deres e-mailinfrastruktur og beskytte sig mod domænespoofing-angreb.

DMARC-implementering som et PCI DSS-krav

I den kommende PCI DSS version 4.0 vil implementering af PCI DSS DMARC være obligatorisk for virksomheder, der behandler, opbevarer eller overfører kortdata.

Inden marts 2025 skal organisationer sikre, at PCI DSS DMARC er implementeret sammen med komplementære foranstaltninger som SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail) for at etablere en omfattende tilgang til e-mail-godkendelse.

Supplerende foranstaltninger i forbindelse med den seneste opdatering

SPF og DKIM er yderligere protokoller, der supplerer DMARC i e-mail-godkendelse.

SPF giver domæneejere mulighed for at definere autoriserede afsendere til deres domæne, mens DKIM verificerer integriteten af e-mailbeskeder ved hjælp af digitale signaturer. 

Tilsammen forbedrer disse protokoller e-mailsikkerheden og beskytter mod e-mailbaserede angreb.

Sikring af omfattende e-mail-godkendelse med DMARC

For effektivt at beskytte mod same-domain spoofing-angreb skal organisationer etablere en DMARC-politik med "p=afvis" eller "p=karantæne" som minimum.

Dette sikrer, at mistænkelige e-mails, der ikke består DMARC-kontrol, enten afvises eller markeres til yderligere undersøgelse, hvilket reducerer risikoen for e-mail-baserede angreb.

Læs også: Hvad er e-mail-godkendelse?

Brancher påvirket af PCI DSS DMARC

Sundhedspleje

Sundhedssektoren håndterer følsomme patientoplysninger, herunder betalingskortdata for medicinske ydelser. 

Sundhedsorganisationer, der behandler kredit- eller debetkortbetalinger, er underlagt PCI Data Security Standards. 

DMARC-krav og skal implementere DMARC for at forbedre e-mail-sikkerheden og beskytte mod e-mail-baserede angreb.

Detailhandel

Detailvirksomheder behandler i vid udstrækning kortbetalinger, hvilket gør dem til et hovedmål for databrud. 

Overholdelse af PCI-datasikkerhedsstandarder er afgørende for detailhandlere for at beskytte kundernes betalingsoplysninger. Implementering af DMARC tilføjer et ekstra lag af sikkerhed, der sikrer sikker e-mailkommunikation og mindsker risikoen for domænespoofing-angreb.

Gæstfrihed

Hotel- og restaurationsbranchen håndterer en betydelig mængde kredit- og debetkorttransaktioner, herunder hoteller, resorts og restauranter. 

Overholdelse af PCI Data Security Standards er afgørende for, at disse virksomheder kan beskytte kundernes betalingsdata. 

Ved at implementere DMARC kan hotelvirksomheder beskytte deres brandomdømme og forbedre e-mailsikkerheden mod phishing-forsøg og spoofing.

Håndtering af forretningskrav og kundebeskyttelse

Obligatorisk overholdelse for kortdatabehandlere

Overholdelse af PCI DSS-standarder er nødvendig for virksomheder, der behandler, opbevarer eller overfører nogen form for kortdata. 

Implementering af DMARC bliver afgørende for at sikre omfattende e-mail-godkendelse og beskytte mod e-mail-spoofing og phishing-angreb.

Hullet i DMARC-håndhævelse og kundesikkerhed

Der er et betydeligt hul i DMARC-håndhævelsen, hvor mange organisationer har brug for at implementere DMARC fuldt ud eller nå håndhævelsesniveauer. 

Det udgør en risiko for kunderne og understreger vigtigheden af at lukke dette hul for at styrke kundernes beskyttelse og sikkerhed.

Betydningen af DMARC for brandbeskyttelse og forbrugertillid

Effektiv DMARC-implementering hjælper med at beskytte brands mod spoofere og dårlige aktører, bevare brandets omdømme og opbygge kundernes tillid. 

Ved at prioritere DMARC-håndhævelse viser virksomheder deres engagement i at beskytte kundeoplysninger og fremme sikre betalingsoplevelser.

Konklusion

PCI DSS fungerer som en afgørende ramme for beskyttelse af betalingstransaktioner, og den kommende PCI DSS version 4.0 fremhæver den obligatoriske implementering af DMARC.

Organisationer på tværs af brancher skal proaktivt omfavne DMARC og komplementære protokoller som SPF og DKIM for at styrke deres e-mail-godkendelse og beskytte mod spoofing-angreb på samme domæne.

Ved at implementere DMARC tidligt kan virksomheder forbedre deres brands omdømme, opbygge kundetillid og mindske risikoen for e-mailbaserede angreb. Prioritering af betalingssikkerhed og DMARC-håndhævelse vil skabe et tryggere og mere sikkert digitalt betalingsmiljø.

Ofte stillede spørgsmål om PCI DSS V4.0

Hvilket PCI-sikkerhedskrav vedrører den fysiske beskyttelse af bankernes kundedata?

Et væsentligt PCI-sikkerhedskrav relateret til den fysiske beskyttelse af bankernes kundedata er behandlet i standarden. Dette krav fokuserer på at sikre implementeringen af passende foranstaltninger til at sikre fysisk adgang til områder, hvor kundedata opbevares eller behandles. Banker kan effektivt beskytte kundeoplysninger mod uautoriseret fysisk adgang ved at overholde dette krav.

Hvorfor betegnes v4.0-kravene som fremtidsdaterede?

PCI SSC har annonceret, at de nye krav til v4.0 er fremtidsdaterede, da de vil tilbyde organisationer et ekstra år (efter 2024) efter pensioneringen af den ældre DSS-version til at overholde kravene.

Hvad er de andre fremtidige krav til PCI DSS Compliance?

De andre fremtidige krav til v4.0-overholdelse er som følger:

• Prioritering af kryptering, opdatering af sikkerhedsnøgler og sikring af gyldige certifikater, der ikke er udløbet.
• Overvågning af flytbare medier som datalagringsenheder og pen-drev
•  Prioritering af web- og applikationssikkerhed
• Prioritering af password-sikkerhed
• Periodisk gennemgang af brugeradgang

• Om
• Seneste indlæg

Ahona Rudra

Manager for digital markedsføring og indholdsskribent hos PowerDMARC

Ahona arbejder som Digital Marketing and Content Writer Manager hos PowerDMARC. Hun er en passioneret forfatter, blogger og marketingspecialist inden for cybersikkerhed og informationsteknologi.

Nyeste indlæg af Ahona Rudra (se alle)

• DMARC Black Friday: Forstærk dine e-mails i denne feriesæson - 23. november 2023
• Google og Yahoo opdaterede kravene til e-mail-autentificering i 2024 - 15. november 2023
• Hvordan finder man den bedste DMARC-løsningsudbyder til sin virksomhed? - 8. november 2023