DMARC PCI DSS: ahora es un requisito obligatorio para la versión 4.0

En marzo de 2025, la implantación de DMARC será obligatoria en PCI Data Security Standards versión 4.0. DMARC, recomendado por el PCI SSC como requisito para el futuro, protege a las empresas de ataques basados en el correo electrónico, como el phishing. Después de la fecha límite, las empresas que procesen datos de tarjetas deberán implantar DMARC para una autenticación robusta del correo electrónico.

A política DMARC de p=rechazar o p=cuarentena es crucial para protegerse de los ataques de suplantación de identidad. Este artículo explica la normativa DMARC PCI DSS y por qué es importante que las organizaciones apliquen la protección de datos.

¿Qué son las normas PCI SSC y PCI DSS?

PCI SSC es el acrónimo de Payment Card Industry Security Standards Council (Consejo de Normas de Seguridad del Sector de Tarjetas de Pago) y es una organización mundial que establece y mantiene las Normas de Seguridad de Datos PCI (PCI DSS). 

Combina las principales redes de tarjetas, incluidas Mastercard, Discover, American Express y Visa, para desarrollar y promover las normas de seguridad necesarias para proteger las transacciones con tarjetas de pago.

¿Cuáles son los objetivos de PCI DSS? 

Las Normas de Seguridad de Datos de la PCI son un amplio conjunto de normas de seguridad cuyo objetivo es garantizar la protección de los datos de los titulares de tarjetas durante las transacciones con tarjetas de pago.

• Proteger los datos de los titulares de tarjetas: El objetivo principal de la norma PCI DSS es salvaguardar la información confidencial de los titulares de tarjetas durante las transacciones con tarjetas de pago, impidiendo el acceso no autorizado o el robo.
• Establecimiento de entornos seguros para las tarjetas de pago: La norma describe los requisitos para que los comerciantes establezcan y mantengan entornos seguros para las tarjetas de pago, incluida una infraestructura de red segura, controles de acceso y cifrado.
• Implantar las salvaguardias adecuadas: PCI DSS exige medidas de seguridad específicas, como cortafuegos, software antivirus y prácticas de codificación seguras para proteger los datos de los titulares de tarjetas.
• Mantener prácticas de seguridad continuas: La norma PCI DSS hace hincapié en la importancia de supervisar y mantener continuamente las medidas de seguridad, incluidos los análisis periódicos de vulnerabilidades, las pruebas de penetración y la formación de los empleados en materia de seguridad.
• Garantizar el cumplimiento en todo el sector de las tarjetas de pago: Las Normas de Seguridad de Datos de la PCI proporcionan un marco unificado para el cumplimiento de la normativa, garantizando medidas de seguridad coherentes en todo el sector de las tarjetas de pago y fomentando la confianza en el ecosistema de pagos.

Próximos requisitos de PCI DSS v4.0 - ¿Qué hay de nuevo?

PCI DSS v4.0 sustituye a PCI DSS versión 3.2.1 para combatir la creciente preocupación por las amenazas a la ciberseguridad orquestadas por tecnologías sofisticadas. PCI DSS v4.0 está mejor equipada para hacer frente a los últimos avances tecnológicos en ciberamenazas y abordarlas adecuadamente. 

He aquí un resumen de los cambios:

• Un enfoque personalizado para abordar los problemas de ciberseguridad de las distintas organizaciones
• Procedimientos de prueba mejorados para garantizar una seguridad sólida
• Más atención a los controles de seguridad de la red 
• Más atención a la criptografía robusta para garantizar la seguridad de los datos de los titulares de tarjetas 
• Eliminación de requisitos redundantes 
• Implantación de DMARC 

Lea la lista completa de cambios: Resumen de cambios de PCI DSS

¿Cuándo entrará en vigor PCI DSS v4.0? 

La norma PCI DSS v4.0 entrará plenamente en vigor a partir de marzo de 2025, ya que la antigua versión expira en marzo de 2024. Las organizaciones deberán migrar a las nuevas políticas y requisitos para seguir cumpliendo los últimos cambios. 

Mejores prácticas y recomendaciones DMARC PCI DSS

El PCI SSC reconoce la importancia de DMARC como mejor práctica para la autenticación del correo electrónico y recomienda su implantación para mejorar las medidas de seguridad.

Según las directrices DMARC de PCI DSS, las empresas pueden fortificar su infraestructura de correo electrónico y protegerse contra los ataques de suplantación de dominio.

Implantación de DMARC como requisito de PCI DSS

En la próxima versión 4.0 de PCI DSS, la implantación de DMARC será obligatoria para las empresas que procesen, almacenen o transmitan datos de tarjetas.

Para marzo de 2025, las organizaciones deben asegurarse de que PCI DSS DMARC esté implantado junto con medidas complementarias como SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para establecer un enfoque integral de la autenticación del correo electrónico.

Medidas complementarias con respecto a la última actualización

SPF y DKIM son protocolos adicionales que complementan a DMARC en la autenticación del correo electrónico.

SPF permite a los propietarios de dominios definir remitentes autorizados para su dominio, mientras que DKIM verifica la integridad de los mensajes de correo electrónico mediante firmas digitales. 

Juntos, estos protocolos mejoran la seguridad del correo electrónico y protegen contra los ataques basados en él.

Autenticación completa del correo electrónico con DMARC

Para protegerse eficazmente contra los ataques de suplantación del mismo dominio, las organizaciones deben establecer una política DMARC de "p=reject" o "p=quarantine" como mínimo.

Esto garantiza que los correos sospechosos que no superen las comprobaciones DMARC sean rechazados o marcados para un examen más detallado, lo que reduce el riesgo de ataques basados en el correo electrónico.

Lectura relacionada: ¿Qué es la autenticación de correo electrónico?

Sectores afectados por PCI DSS DMARC

Salud

El sector sanitario maneja información sensible de los pacientes, incluidos los datos de las tarjetas de pago de servicios médicos. 

Las organizaciones sanitarias que procesan pagos con tarjeta de crédito o débito están sujetas a las normas de seguridad de datos PCI. 

DMARC y deben aplicar DMARC para mejorar la seguridad del correo electrónico y protegerse contra los ataques basados en el correo electrónico.

Venta al por menor

Los comercios minoristas procesan numerosos pagos con tarjeta, lo que los convierte en un objetivo prioritario para las filtraciones de datos. 

Cumplir las normas de seguridad de datos PCI es crucial para que los minoristas protejan la información de pago de sus clientes. La implementación de DMARC añade una capa adicional de seguridad, garantizando una comunicación segura por correo electrónico y mitigando el riesgo de ataques de suplantación de dominio.

Hospitalidad

El sector de la hostelería gestiona un importante volumen de transacciones con tarjetas de crédito y débito, incluidos hoteles, complejos turísticos y restaurantes. 

El cumplimiento de las normas de seguridad de datos PCI es esencial para que estos establecimientos salvaguarden los datos de pago de los clientes. 

Al implantar DMARC, las empresas hosteleras pueden proteger la reputación de su marca y mejorar la seguridad del correo electrónico frente a intentos de phishing y suplantación de identidad.

Cumplir los requisitos de la empresa y proteger al cliente

Cumplimiento obligatorio para los procesadores de datos de tarjetas

El cumplimiento de las normas PCI DSS es necesario para las empresas que procesan, almacenan o transmiten cualquier tipo de datos de tarjetas. 

La implantación de DMARC es fundamental para garantizar una autenticación completa del correo electrónico y protegerlo de los ataques de suplantación de identidad y phishing.

La brecha en la aplicación de DMARC y la seguridad del cliente

Existe una brecha significativa en el cumplimiento de DMARC, y muchas organizaciones necesitan implantar DMARC por completo o alcanzar niveles de cumplimiento. 

Esto supone un riesgo para los clientes, lo que pone de relieve la importancia de colmar esta laguna para reforzar la protección y la seguridad de los clientes.

Importancia de DMARC para la protección de la marca y la confianza del consumidor

La implantación eficaz de DMARC ayuda a proteger a las marcas de falsificadores y malos actores, preservando la reputación de la marca y fomentando la confianza de los clientes. 

Al dar prioridad a la aplicación de DMARC, las empresas demuestran su compromiso con la protección de la información de los clientes y el fomento de experiencias de pago seguras.

Conclusión

La norma PCI DSS constituye un marco crucial para la protección de las transacciones de pago, y la próxima versión 4.0 de PCI DSS destaca la implantación obligatoria de DMARC.

Las organizaciones de todos los sectores deben adoptar de forma proactiva DMARC y protocolos complementarios como SPF y DKIM para reforzar la autenticación de su correo electrónico y protegerse contra los ataques de suplantación del mismo dominio.

Mediante la implantación temprana de DMARC, las empresas pueden mejorar la reputación de su marca, generar confianza en los clientes y mitigar el riesgo de ataques basados en el correo electrónico. Dar prioridad a la seguridad de los pagos y a la aplicación de DMARC creará un entorno de pago digital más seguro.

Preguntas frecuentes sobre PCI DSS V4.0

¿Qué requisito de seguridad de la PCI se refiere a la protección física de los datos de los clientes de los bancos?

La norma aborda un importante requisito de seguridad de la PCI relacionado con la protección física de los datos de los clientes de los bancos. Este requisito se centra en garantizar la aplicación de medidas adecuadas para asegurar el acceso físico a las áreas en las que se almacenan o procesan los datos de los clientes. Los bancos pueden proteger eficazmente la información de los clientes frente al acceso físico no autorizado cumpliendo este requisito.

¿Por qué se dice que los requisitos de la v4.0 tienen fecha de caducidad?

El PCI SSC ha anunciado que los nuevos requisitos de la versión 4.0 se actualizarán en el futuro, ya que ofrecerá a las organizaciones un año más (después de 2024) tras la retirada de la versión anterior de la DSS para cumplir los requisitos de conformidad.

¿Cuáles son los demás requisitos futuros para el cumplimiento de PCI DSS?

Los demás requisitos futuros para el cumplimiento de la v4.0 son los siguientes:

• Dar prioridad al cifrado, actualizar las claves de seguridad y garantizar certificados válidos que no hayan caducado.
• Supervisión de soportes extraíbles como dispositivos de almacenamiento de datos y pendrives
•  Prioridad a la seguridad de la Web y las aplicaciones
• Priorizar la seguridad de las contraseñas
• Revisión periódica del acceso de los usuarios

• Acerca de
• Últimas publicaciones

Ahona Rudra

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Proxies de centros de datos: Desvelando el caballo de batalla del mundo proxy - 7 de mayo de 2024
• Kimsuky explota las políticas DMARC "None" en recientes ataques de phishing - 6 de mayo de 2024
• Aumentan las estafas fiscales y los ataques de suplantación de identidad de IRS por correo electrónico durante la temporada de impuestos - 2 de mayo de 2024