En marzo de 2025, la implantación de DMARC será obligatoria en PCI Data Security Standards versión 4.0. El protocolo de autenticación DMARC está recomendado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) como requisito para el futuro, y protege a las empresas de ataques basados en el correo electrónico como el phishing.
Este artículo le explica la normativa de cumplimiento DMARC PCI DSS y por qué es importante que las organizaciones apliquen la protección de datos.
Puntos clave
- Para marzo de 2025, PCI DSS v4.0 exige la implantación de DMARC para todas las entidades que manejen datos de titulares de tarjetas.
- DMARC ayuda a las organizaciones a protegerse contra los ataques de suplantación de identidad y de correo electrónico.
- PCI DSS hace hincapié en la implantación de DMARC junto con SPF y DKIM para una autenticación sólida del correo electrónico.
- Cumplir la norma PCI DSS v4.0 es esencial para proteger los datos de los titulares de tarjetas y garantizar la seguridad de las transacciones de pago.
- La aplicación temprana de DMARC puede generar confianza, mejorar la entrega del correo electrónico y reducir los riesgos de seguridad basados en el correo electrónico.
Conocimiento de PCI DSS y PCI SSC
PCI SSC es el acrónimo de Payment Card Industry Security Standards Council y es una organización mundial que establece y mantiene la norma PCI seguridad de datos (PCI DSS).
Combina las principales redes de tarjetas, incluidas Mastercard, Discover, American Express y Visa, para desarrollar y promover las normas de seguridad necesarias para proteger las transacciones con tarjetas de pago.
Por qué el cumplimiento de PCI DSS es esencial para las empresas
Las Normas de Seguridad de Datos de la PCI son un amplio conjunto de normas de seguridad cuyo objetivo es garantizar la protección de los datos de los titulares de tarjetas durante las transacciones con tarjetas de pago.
- Proteger los datos de los titulares de tarjetas: El objetivo principal de la norma PCI DSS es salvaguardar la información confidencial de los titulares de tarjetas durante las transacciones con tarjetas de pago, impidiendo el acceso no autorizado o el robo.
- Establecimiento de entornos seguros para las tarjetas de pago: La norma describe los requisitos para que los comerciantes establezcan y mantengan entornos seguros para las tarjetas de pago, incluida una infraestructura de red segura, controles de acceso y cifrado.
- Implantar las salvaguardias adecuadas: PCI DSS exige medidas de seguridad específicas, como cortafuegos, software antivirus y prácticas de codificación seguras para proteger los datos de los titulares de tarjetas.
- Mantener prácticas de seguridad continuas: La norma PCI DSS hace hincapié en la importancia de supervisar y mantener continuamente las medidas de seguridad, incluidos los análisis periódicos de vulnerabilidades, las pruebas de penetración y la formación de los empleados en materia de seguridad.
- Garantizar el cumplimiento en todo el sector de las tarjetas de pago: Las Normas de Seguridad de Datos de la PCI proporcionan un marco unificado para el cumplimiento de la normativa, garantizando medidas de seguridad coherentes en todo el sector de las tarjetas de pago y fomentando la confianza en el ecosistema de pagos.
¿A quién afecta el mandato DMARC de PCI DSS?
El mandato DMARC de PCI DSS afectará a cualquier entidad que almacene, procese o transmita datos de titulares de tarjetas/información de tarjetas de pago/datos confidenciales de autenticación. Esto incluye organizaciones, individuos, componentes de sistemas y proveedores de servicios.
Entre las entidades afectadas figuran:
- Cualquier empresa o proveedor de servicios que procese, adquiera, emita o acepte datos de titulares de tarjetas.
- Componentes del sistema, personas y procesos que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) y/o datos sensibles de autenticación (SAD).
- Componentes del sistema con conectividad sin restricciones a los que manejan CHD/SAD, aunque ellos mismos no la almacenen, procesen o transmitan.
Requisitos clave de PCI DSS v4.0 (en vigor en 2025)
PCI DSS v4.0 sustituye a PCI DSS versión 3.2.1 para combatir la creciente preocupación por las amenazas a la ciberseguridad orquestadas por tecnologías sofisticadas. PCI DSS v4.0 está mejor equipada para hacer frente a los últimos avances tecnológicos en ciberamenazas y abordarlas adecuadamente.
He aquí un resumen de los cambios:
- Un enfoque personalizado para abordar los problemas de ciberseguridad de las distintas organizaciones
- Procedimientos de prueba mejorados para garantizar una seguridad sólida
- Más atención a los controles de seguridad de la red
- Más atención a la criptografía robusta para garantizar la seguridad de los datos de los titulares de tarjetas
- Eliminación de requisitos redundantes
- Implantación de DMARC
Lea la lista completa de cambios: Resumen de cambios de PCI DSS
Cumplimiento de PCI DSS con PowerDMARC
El cumplimiento de la norma PCI DSS puede agilizarse con el conjunto de soluciones de seguridad del correo electrónico de PowerDMARC. He aquí cómo:
- Autenticación y seguridad del correo electrónico: PowerDMARC le ayuda en el proceso de cumplimiento de la norma PCI DSS versión 4 mediante la implementación guiada y sencilla de los protocolos DMARC, SPF y DKIM.
- Informes y control exhaustivos: PowerDMARC proporciona informes detallados en tiempo real y funciones de supervisión, lo que le permite auditar sus canales de correo electrónico y mantener un enfoque del cumplimiento basado en pruebas.
- Gestión simplificada del cumplimiento: Con procesos automatizados y un panel de control de fácil navegación, PowerDMARC le ayuda a gestionar y documentar sus esfuerzos de cumplimiento de PCI DSS de manera eficiente, ahorrando tiempo y recursos.
El papel de DMARC en la seguridad del correo electrónico para el cumplimiento de PCI DSS
El PCI SSC reconoce la importancia de DMARC como mejor práctica para la autenticación del correo electrónico y recomienda su implantación para mejorar las medidas de seguridad.
Según las directrices DMARC de PCI DSS, las empresas pueden fortificar su infraestructura de correo electrónico y protegerse contra los ataques de suplantación de dominio. En la próxima versión 4.0 de PCI DSS, la implantación de DMARC será obligatoria para las empresas que procesen, almacenen o transmitan datos de tarjetas.
Para marzo de 2025, las organizaciones deben asegurarse de que PCI DSS DMARC esté implantado junto con medidas complementarias como SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para establecer un enfoque integral de la autenticación del correo electrónico.
¿Qué son SPF, DKIM y DMARC?
SPF, DKIM y DMARC son protocolos de autenticación de correo electrónico que ayudan a proteger su dominio y sus correos electrónicos frente a ataques de suplantación de identidad y phishing. Estos protocolos ayudan a distinguir entre correos electrónicos legítimos y falsos que se envían desde tu dominio, garantizando que fuentes no autorizadas no puedan lanzar ataques de phishing en tu nombre.
Lectura relacionada: ¿Qué es la autenticación de correo electrónico?
Qué hacen estos protocolos
SPF autoriza a remitentes legítimos para su dominio, para asegurarse de que fuentes no autorizadas no puedan enviar correos electrónicos en nombre de su dominio. DKIM añade firmas digitales a sus mensajes salientes para evitar que sean alterados por agentes de amenazas antes de que lleguen a su destino.
DMARC es el pegamento que los une, permitiendo a los remitentes dar instrucciones a los servidores receptores sobre cómo tratar los correos electrónicos que no superan las comprobaciones de autenticación SPF y/o DKIM. Con DMARC, los remitentes pueden optar por rechazar, poner en cuarentena o entregar los correos electrónicos que no superen la autenticación.
Para protegerse eficazmente contra los ataques de suplantación del mismo dominio, las organizaciones deben establecer una política DMARC de "p=reject" o "p=quarantine" como mínimo.
Cumplir los requisitos de la empresa y proteger al cliente
Cumplimiento obligatorio para los procesadores de datos de tarjetas
El cumplimiento de las normas PCI DSS es necesario para las empresas que procesan, almacenan o transmiten cualquier tipo de datos de tarjetas.
La implantación de DMARC es fundamental para garantizar una autenticación completa del correo electrónico y protegerlo de los ataques de suplantación de identidad y phishing.
La brecha en la aplicación de DMARC y la seguridad del cliente
Existe una brecha significativa en el cumplimiento de DMARC, y muchas organizaciones necesitan implantar DMARC por completo o alcanzar niveles de cumplimiento.
Esto supone un riesgo para los clientes, lo que pone de relieve la importancia de colmar esta laguna para reforzar la protección y la seguridad de los clientes.
Importancia de DMARC para la protección de la marca y la confianza del consumidor
La implantación eficaz de DMARC ayuda a proteger a las marcas de falsificadores y malos actores, preservando la reputación de la marca y fomentando la confianza de los clientes.
Al dar prioridad a la aplicación de DMARC, las empresas demuestran su compromiso con la protección de la información de los clientes y el fomento de experiencias de pago seguras.
Resumen
La norma PCI DSS constituye un marco crucial para la protección de las transacciones de pago, y la próxima versión 4.0 de PCI DSS destaca la implantación obligatoria de DMARC.
Las organizaciones de todos los sectores deben adoptar proactivamente DMARC y protocolos complementarios como SPF y DKIM para reforzar la autenticación del correo electrónico y protegerse contra los ataques de suplantación del mismo dominio.
Mediante la implantación temprana de DMARC, las empresas pueden mejorar la reputación de su marca, generar confianza en los clientes y mitigar el riesgo de ataques basados en el correo electrónico. Dar prioridad a la seguridad de los pagos y a la aplicación de DMARC creará un entorno de pago digital más seguro.
Preguntas frecuentes sobre PCI DSS V4.0
¿Qué requisito de seguridad de la PCI se refiere a la protección física de los datos de los clientes de los bancos?
La norma aborda un importante requisito de seguridad de la PCI relacionado con la protección física de los datos de los clientes de los bancos. Este requisito se centra en garantizar la aplicación de medidas adecuadas para asegurar el acceso físico a las áreas en las que se almacenan o procesan los datos de los clientes. Los bancos pueden proteger eficazmente la información de los clientes frente al acceso físico no autorizado cumpliendo este requisito.
¿Por qué se dice que los requisitos de la v4.0 tienen fecha de caducidad?
El PCI SSC ha anunciado que los nuevos requisitos de la versión 4.0 se actualizarán en el futuro, ya que ofrecerá a las organizaciones un año más (después de 2024) tras la retirada de la versión anterior de la DSS para cumplir los requisitos de conformidad.
¿Cuáles son los demás requisitos futuros para el cumplimiento de PCI DSS?
Los demás requisitos futuros para el cumplimiento de la v4.0 son los siguientes:
- Dar prioridad al cifrado, actualizar las claves de seguridad y garantizar certificados válidos que no hayan caducado.
- Supervisión de soportes extraíbles como dispositivos de almacenamiento de datos y pendrives
- Prioridad a la seguridad de la Web y las aplicaciones
- Priorizar la seguridad de las contraseñas
- Revisión periódica del acceso de los usuarios
- El auge de las estafas de pretexto en los ataques de phishing mejorados - 15 de enero de 2025
- DMARC será obligatorio para el sector de las tarjetas de pago a partir de 2025 - 12 de enero de 2025
- Cambios de NCSC Mail Check y su impacto en la seguridad del correo electrónico del sector público británico - 11 de enero de 2025