DMARC para PCI DSS: Requisitos y recomendaciones de la versión 4.0

Blog

DMARC es una buena práctica recomendada por PCI DSS 4.0 para mejorar la seguridad del correo electrónico. Refuerce hoy mismo su estrategia de cumplimiento para combatir el fraude por correo electrónico.

por Ahona Rudra

Tiempo de lectura: 6 min
DMARC para PCI DSS: Requisitos y recomendaciones de la versión 4.0
Índice-

DMARC se recomienda como "buena práctica" en la norma PCI DSS versión 4.0que complementa otras medidas de seguridad como parte de un enfoque global de la protección del correo electrónico y la prevención del fraude. Esta iniciativa del sector de las tarjetas de pago pretende reforzar la seguridad de los pagos para todas las entidades que manejan, almacenan o procesan datos de titulares de tarjetas. DMARC desempeña un papel fundamental a la hora de ayudar a las empresas a prevenir ataques basados en el correo electrónico, como el phishing y la suplantación de identidad, protegiendo la información confidencial que se intercambia por correo electrónico.

Aunque DMARC, junto con otras precauciones, se describe como un ejemplo de buenas prácticas en la versión actual de la PCI DSS, no es obligatorio ni lo exige la PCI DSS. Sin embargo, la adopción de DMARC como parte de su estrategia de seguridad del correo electrónico puede mejorar significativamente la protección de dominios, evitar ataques de phishing y garantizar una mejor capacidad de entrega del correo electrónico, aspectos clave de un marco de ciberseguridad sólido que puede complementar sus esfuerzos de cumplimiento de PCI DSS.

Puntos clave

  • La norma PCI DSS v4.0 recomienda la implantación de DMARC para las organizaciones que gestionan o procesan pagos con tarjeta
  • DMARC ayuda a las organizaciones a protegerse contra los ataques de suplantación de identidad y de correo electrónico.
  • PCI DSS menciona la implementación de DMARC, SPF y DKIM junto con otros controles antiphishing para una seguridad robusta del correo electrónico.
  • Cumplir la norma PCI DSS v4.0 es esencial para proteger los datos de los titulares de tarjetas y garantizar la seguridad de las transacciones de pago.
  • La aplicación temprana de DMARC puede generar confianza, mejorar la entrega del correo electrónico y reducir los riesgos de seguridad basados en el correo electrónico.

Requisitos clave para el cumplimiento de la norma PCI DSS 4.0 (en vigor en 2025)

PCI DSS v4.0 sustituye a PCI DSS versión 3.2.1 para combatir la creciente preocupación por las amenazas a la ciberseguridad orquestadas por tecnologías sofisticadas. PCI DSS v4.0 está mejor equipada para hacer frente a los últimos avances tecnológicos en ciberamenazas y abordarlas adecuadamente. 

Los principales cambios son:

  1. Seguridad reforzada del correo electrónico: PCI DSS v4.0 anima a las organizaciones que gestionan pagos con tarjeta a implantar DMARC para mejorar la seguridad del correo electrónico y reducir los riesgos de suplantación de identidad y violación de datos.
  2. Controles de acceso mejorados: La autenticación multifactor (MFA) es obligatoria para todos los accesos, junto con políticas de contraseñas más estrictas (la longitud mínima ha aumentado de 7 a 12 caracteres) y reglas actualizadas de bloqueo de cuentas (después de 10 intentos fallidos de inicio de sesión en lugar de 6).
  3. Análisis tecnológicos anuales: El hardware y el software deben revisarse al menos una vez al año para adelantarse a las vulnerabilidades.
  4. Gestión proactiva de riesgos: Las organizaciones deben abordar con prontitud los fallos en los controles de seguridad y adoptar enfoques adaptados a los retos únicos de la ciberseguridad.
  5. Mayor seguridad de datos y redes: Centrarse en un cifrado robusto, permisos de acceso más estrictos y mejores medidas de seguridad de la red para proteger los datos de los titulares de tarjetas.
  6. Cumplimiento simplificado: Simplificación mediante la eliminación de requisitos obsoletos y procedimientos de prueba mejorados para garantizar una seguridad integral.

Lea la lista completa de cambios: Resumen de cambios de PCI DSS

¿A quién afecta?

La recomendación PCI DSS para DMARC beneficiará a cualquier entidad que almacene, procese o transmita datos de titulares de tarjetas/información de tarjetas de pago/datos sensibles de autenticación. Esto incluye organizaciones, individuos, componentes de sistemas y proveedores de servicios.

Entre las entidades afectadas figuran:

  • Cualquier organización, grande o pequeña, que gestione o procese pagos con tarjeta. 
  • Cualquier empresa o proveedor de servicios que procese, adquiera, emita o acepte datos de titulares de tarjetas.
  • Componentes del sistema, personas y procesos que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) y/o datos sensibles de autenticación (SAD).
  • Componentes del sistema con conectividad sin restricciones a los que manejan CHD/SAD, aunque ellos mismos no la almacenen, procesen o transmitan.

Entre las industrias afectadas figuran:

  • Empresas de comercio electrónico 
  • Instituciones financieras 
  • Minoristas 
  • Salud 
  • Hospitalidad 
  • Terceros proveedores de servicios y vendedores 
  • Cualquier empresa o sociedad que procese pagos con tarjeta

Implantación de DMARC para el cumplimiento de PCI DSS con PowerDMARC

DMARC, aunque no es un requisito exclusivo, complementa los esfuerzos de cumplimiento de PCI DSS. La implantación de DMARC puede agilizarse con el conjunto de soluciones de autenticación de correo electrónico alojado de PowerDMARC. He aquí cómo:

  1. ServiciosDMARC alojados: Los servicios alojados de PowerDMARC le ayudan a cumplir la norma PCI DSS versión 4 mediante la implementación sencilla y automatizada de DMARC, SPF y DKIM.
  2. Informes y supervisión DMARC exhaustivos: PowerDMARC proporciona informes DMARC agregados y forenses detallados y simplificados. Esto le permite auditar sus canales de correo electrónico y mantener un enfoque del cumplimiento basado en pruebas.
  3. Gestión simplificada del cumplimiento: Con procesos automatizados y un panel de control de fácil navegación, PowerDMARC le ayuda a gestionar y documentar sus esfuerzos de cumplimiento de PCI DSS de manera eficiente, ahorrando tiempo y recursos.

Consecuencias de no implantar DMARC

Aunque PCI DSS no impone sanciones directas por no implantar DMARC, las organizaciones pueden enfrentarse a importantes riesgos de ciberseguridad.

No implementar DMARC puede resultar en: 

  1. Mayor riesgo de ciberataques: Si no implementa DMARC, su nombre de dominio será vulnerable a la suplantación, el phishing y la suplantación de identidad.
  2. Mala entregabilidad del correo electrónico: Sin autenticación, la capacidad de entrega de su correo electrónico puede verse afectada, lo que se traduce en un aumento de las tasas de rebote.
  3. Reputación dañada: El aumento del riesgo de ataques de phishing puede dañar la reputación de su marca y reducir la confianza de los clientes.

¡Simplifique la seguridad con PowerDMARC!

Prueba de 15 díasAgendar demo

Conocimiento de PCI DSS y PCI SSC 

PCI SSC es el acrónimo de Payment Card Industry Security Standards Council y es una organización mundial que establece y mantiene la norma PCI seguridad de datos (PCI DSS).

Combina las principales redes de tarjetas, incluidas Mastercard, Discover, American Express y Visa, para desarrollar y promover las normas de seguridad necesarias para proteger las transacciones con tarjetas de pago.

Por qué el cumplimiento de PCI DSS es esencial para las empresas

Las Normas de Seguridad de Datos de la PCI son un amplio conjunto de normas de seguridad cuyo objetivo es garantizar la protección de los datos de los titulares de tarjetas durante las transacciones con tarjetas de pago.

  • Proteger los datos de los titulares de tarjetas: El objetivo principal de la norma PCI DSS es salvaguardar la información confidencial de los titulares de tarjetas durante las transacciones con tarjetas de pago, impidiendo el acceso no autorizado o el robo.
  • Establecimiento de entornos seguros para las tarjetas de pago: La norma describe los requisitos para que los comerciantes establezcan y mantengan entornos seguros para las tarjetas de pago, incluida una infraestructura de red segura, controles de acceso y cifrado.
  • Implantar las salvaguardias adecuadas: PCI DSS exige medidas de seguridad específicas, como cortafuegos, software antivirus y prácticas de codificación seguras para proteger los datos de los titulares de tarjetas.
  • Mantener prácticas de seguridad continuas: La norma PCI DSS hace hincapié en la importancia de supervisar y mantener continuamente las medidas de seguridad, incluidos los análisis periódicos de vulnerabilidades, las pruebas de penetración y la formación de los empleados en materia de seguridad.
  • Garantizar el cumplimiento en todo el sector de las tarjetas de pago: Las Normas de Seguridad de Datos de la PCI proporcionan un marco unificado para el cumplimiento de la normativa, garantizando medidas de seguridad coherentes en todo el sector de las tarjetas de pago y fomentando la confianza en el ecosistema de pagos.

DMARC para PCI DSS: por qué es importante 

DMARC, SPF y DKIM son protocolos de autenticación de correo electrónico que ayudan a proteger su dominio y sus correos electrónicos contra ataques de suplantación de identidad, phishing y spoofing. Estos protocolos ayudan a distinguir entre los correos electrónicos legítimos y los falsos que se envían desde su dominio, garantizando que las fuentes no autorizadas no puedan falsificar su nombre de dominio. Para protegerse eficazmente contra los ataques de suplantación del mismo dominio, las organizaciones deben establecer una política DMARC de "p=rechazar" o "p=cuarentena" como mínimo.

El PCI SSC incluye la implantación de DMARC como parte de sus esfuerzos antispam y antiphishing. DMARC ofrece varias ventajas a las organizaciones que lo implementan, entre ellas: 

  • Mejora de la capacidad de entrega del correo electrónico 
  • Reducción al mínimo del fraude por correo electrónico y la suplantación de nombres de dominio 
  • Reducción de las quejas por spam y de los mensajes devueltos 
  • Mayor reputación de marca, credibilidad y confianza 
  • Cumplimiento de la normativa gubernamental mundial y local  

Cómo cumplir los requisitos y recomendaciones de PCI DSS 

Para seguir cumpliendo las recomendaciones de PCI DSS, las empresas pueden: 

  1. Implemente DMARC, SPF y DKIM junto con las tecnologías antiphishing relacionadas. 
  2. Adopte una política DMARC obligatoria (como p=reject) para empezar a prevenir los ciberataques basados en el correo electrónico. 
  3. Implante soluciones antimalware y de protección de URL para impedir que las campañas de spam lleguen a sus empleados. 
  4. Haga que todo su equipo reciba formación sobre seguridad al menos una vez al mes para estar al tanto de las últimas técnicas de phishing.

Resumen

La norma PCI DSS constituye un marco crucial para proteger las transacciones de pago. La próxima versión 4.0 de la PCI DSS destaca la importancia de la seguridad del correo electrónico para proteger los datos sensibles de las tarjetas de pago. Se aconseja a las organizaciones de todos los sectores que adopten de forma proactiva DMARC, protocolos complementarios como SPF y DKIM, o controles similares contra la suplantación de identidad para reforzar sus defensas contra las filtraciones de datos. 

Mediante la aplicación temprana de DMARC, las empresas también pueden mejorar la reputación de su marca, generar confianza en los clientes y mejorar la capacidad de entrega del correo electrónico. Dar prioridad a la seguridad de los pagos y a la aplicación de DMARC promoverá un entorno de pago digital más seguro en todo el mundo.

Regístrese hoy mismo para mejorar la seguridad de su correo electrónico con PowerDMARC y reforzar el cumplimiento de las mejores prácticas de PCI DSS.

Preguntas frecuentes sobre PCI DSS V4.0

¿Qué requisito de seguridad de la PCI se refiere a la protección física de los datos de los clientes de los bancos?

La norma aborda un importante requisito de seguridad de la PCI relacionado con la protección física de los datos de los clientes de los bancos. Este requisito se centra en garantizar la aplicación de medidas adecuadas para asegurar el acceso físico a las áreas en las que se almacenan o procesan los datos de los clientes. Los bancos pueden proteger eficazmente la información de los clientes frente al acceso físico no autorizado cumpliendo este requisito.

¿Por qué se dice que los requisitos de la v4.0 tienen fecha de caducidad?

El PCI SSC ha anunciado que los nuevos requisitos de la versión 4.0 se actualizarán en el futuro, ya que ofrecerá a las organizaciones un año más (después de 2024) tras la retirada de la versión anterior de la DSS para cumplir los requisitos de conformidad.

¿Cuáles son los demás requisitos futuros para el cumplimiento de PCI DSS?

Los demás requisitos futuros para el cumplimiento de la v4.0 son los siguientes:

  • Dar prioridad al cifrado, actualizar las claves de seguridad y garantizar certificados válidos que no hayan caducado.
  • Supervisión de soportes extraíbles como dispositivos de almacenamiento de datos y pendrives
  • Prioridad a la seguridad de la Web y las aplicaciones
  • Priorizar la seguridad de las contraseñas
  • Revisión periódica del acceso de los usuarios

Últimas publicaciones de Ahona Rudra (ver todas)
554 5.7.5 Error permanente en la evaluación de la política DMARC [SOLVED]554 5.7.5 Error permanente al evaluar la política DMARCSolución de problemas de correo electrónico rechazado por la política DMARCSolución de problemas "Correo electrónico rechazado por la política DMARC" [RESUELTO]