En marzo de 2025, la implantación de DMARC será obligatoria en PCI Data Security Standards versión 4.0. El protocolo de autenticación DMARC está recomendado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) como requisito para el futuro, y protege a las empresas de ataques basados en el correo electrónico como el phishing.
Este artículo le explica la normativa de cumplimiento DMARC PCI DSS y por qué es importante que las organizaciones apliquen la protección de datos.
Conocimiento de PCI DSS y PCI SSC
PCI SSC es el acrónimo de Payment Card Industry Security Standards Council y es una organización mundial que establece y mantiene la norma PCI seguridad de datos (PCI DSS).
Combina las principales redes de tarjetas, incluidas Mastercard, Discover, American Express y Visa, para desarrollar y promover las normas de seguridad necesarias para proteger las transacciones con tarjetas de pago.
Por qué el cumplimiento de PCI DSS es esencial para las empresas
Las Normas de Seguridad de Datos de la PCI son un amplio conjunto de normas de seguridad cuyo objetivo es garantizar la protección de los datos de los titulares de tarjetas durante las transacciones con tarjetas de pago.
- Proteger los datos de los titulares de tarjetas: El objetivo principal de la norma PCI DSS es salvaguardar la información confidencial de los titulares de tarjetas durante las transacciones con tarjetas de pago, impidiendo el acceso no autorizado o el robo.
- Establecimiento de entornos seguros para las tarjetas de pago: La norma describe los requisitos para que los comerciantes establezcan y mantengan entornos seguros para las tarjetas de pago, incluida una infraestructura de red segura, controles de acceso y cifrado.
- Implantar las salvaguardias adecuadas: PCI DSS exige medidas de seguridad específicas, como cortafuegos, software antivirus y prácticas de codificación seguras para proteger los datos de los titulares de tarjetas.
- Mantener prácticas de seguridad continuas: La norma PCI DSS hace hincapié en la importancia de supervisar y mantener continuamente las medidas de seguridad, incluidos los análisis periódicos de vulnerabilidades, las pruebas de penetración y la formación de los empleados en materia de seguridad.
- Garantizar el cumplimiento en todo el sector de las tarjetas de pago: Las Normas de Seguridad de Datos de la PCI proporcionan un marco unificado para el cumplimiento de la normativa, garantizando medidas de seguridad coherentes en todo el sector de las tarjetas de pago y fomentando la confianza en el ecosistema de pagos.
Sectores afectados por los requisitos de PCI DSS v4.0
Las siguientes industrias y sectores se verán afectados por este nuevo mandato:
Salud
El sector sanitario maneja información sensible de los pacientes, incluidos los datos de las tarjetas de pago de servicios médicos.
Las organizaciones sanitarias que procesan pagos con tarjeta de crédito o débito están sujetas a las normas de seguridad de datos PCI.
DMARC y deben aplicar DMARC para mejorar la seguridad del correo electrónico y protegerse contra los ataques basados en el correo electrónico.
Venta al por menor
Los comercios minoristas procesan numerosos pagos con tarjeta, lo que los convierte en un objetivo prioritario para las filtraciones de datos.
Cumplir las normas de seguridad de datos PCI es crucial para que los minoristas protejan la información de pago de sus clientes. La implementación de DMARC añade una capa adicional de seguridad, garantizando una comunicación segura por correo electrónico y mitigando el riesgo de ataques de suplantación de dominio.
Hospitalidad
El sector de la hostelería gestiona un importante volumen de transacciones con tarjetas de crédito y débito, incluidos hoteles, complejos turísticos y restaurantes.
El cumplimiento de las normas de seguridad de datos PCI es esencial para que estos establecimientos salvaguarden los datos de pago de los clientes.
Al implantar DMARC, las empresas hosteleras pueden proteger la reputación de su marca y mejorar la seguridad del correo electrónico frente a intentos de phishing y suplantación de identidad.
Requisitos clave de PCI DSS v4.0 (en vigor en 2025)
PCI DSS v4.0 sustituye a PCI DSS versión 3.2.1 para combatir la creciente preocupación por las amenazas a la ciberseguridad orquestadas por tecnologías sofisticadas. PCI DSS v4.0 está mejor equipada para hacer frente a los últimos avances tecnológicos en ciberamenazas y abordarlas adecuadamente.
He aquí un resumen de los cambios:
- Un enfoque personalizado para abordar los problemas de ciberseguridad de las distintas organizaciones
- Procedimientos de prueba mejorados para garantizar una seguridad sólida
- Más atención a los controles de seguridad de la red
- Más atención a la criptografía robusta para garantizar la seguridad de los datos de los titulares de tarjetas
- Eliminación de requisitos redundantes
- Implantación de DMARC
Lea la lista completa de cambios: Resumen de cambios de PCI DSS
Cumplimiento de PCI DSS con PowerDMARC
El cumplimiento de la norma PCI DSS puede agilizarse con el conjunto de soluciones de seguridad del correo electrónico de PowerDMARC. He aquí cómo:
- Autenticación y seguridad del correo electrónico: PowerDMARC le ayuda en el proceso de cumplimiento de la norma PCI DSS versión 4 mediante la implementación guiada y sencilla de los protocolos DMARC, SPF y DKIM.
- Informes y control exhaustivos: PowerDMARC proporciona informes detallados en tiempo real y funciones de supervisión, lo que le permite auditar sus canales de correo electrónico y mantener un enfoque del cumplimiento basado en pruebas.
- Gestión simplificada del cumplimiento: Con procesos automatizados y un panel de control de fácil navegación, PowerDMARC le ayuda a gestionar y documentar sus esfuerzos de cumplimiento de PCI DSS de manera eficiente, ahorrando tiempo y recursos.
El papel de DMARC en la seguridad del correo electrónico para el cumplimiento de PCI DSS
El PCI SSC reconoce la importancia de DMARC como mejor práctica para la autenticación del correo electrónico y recomienda su implantación para mejorar las medidas de seguridad.
Según las directrices DMARC de PCI DSS, las empresas pueden fortificar su infraestructura de correo electrónico y protegerse contra los ataques de suplantación de dominio. En la próxima versión 4.0 de PCI DSS, la implantación de DMARC será obligatoria para las empresas que procesen, almacenen o transmitan datos de tarjetas.
Para marzo de 2025, las organizaciones deben asegurarse de que PCI DSS DMARC esté implantado junto con medidas complementarias como SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para establecer un enfoque integral de la autenticación del correo electrónico.
¿Qué son SPF, DKIM y DMARC?
SPF, DKIM y DMARC son protocolos de autenticación de correo electrónico que ayudan a proteger su dominio y sus correos electrónicos frente a ataques de suplantación de identidad y phishing. Estos protocolos ayudan a distinguir entre correos electrónicos legítimos y falsos que se envían desde tu dominio, garantizando que fuentes no autorizadas no puedan lanzar ataques de phishing en tu nombre.
Lectura relacionada: ¿Qué es la autenticación de correo electrónico?
Qué hacen estos protocolos
SPF autoriza a remitentes legítimos para su dominio, para asegurarse de que fuentes no autorizadas no puedan enviar correos electrónicos en nombre de su dominio. DKIM añade firmas digitales a sus mensajes salientes para evitar que sean alterados por agentes de amenazas antes de que lleguen a su destino.
DMARC es el pegamento que los une, permitiendo a los remitentes dar instrucciones a los servidores receptores sobre cómo tratar los correos electrónicos que no superan las comprobaciones de autenticación SPF y/o DKIM. Con DMARC, los remitentes pueden optar por rechazar, poner en cuarentena o entregar los correos electrónicos que no superen la autenticación.
Para protegerse eficazmente contra los ataques de suplantación del mismo dominio, las organizaciones deben establecer una política DMARC de "p=reject" o "p=quarantine" como mínimo.
Cumplir los requisitos de la empresa y proteger al cliente
Cumplimiento obligatorio para los procesadores de datos de tarjetas
El cumplimiento de las normas PCI DSS es necesario para las empresas que procesan, almacenan o transmiten cualquier tipo de datos de tarjetas.
La implantación de DMARC es fundamental para garantizar una autenticación completa del correo electrónico y protegerlo de los ataques de suplantación de identidad y phishing.
La brecha en la aplicación de DMARC y la seguridad del cliente
Existe una brecha significativa en el cumplimiento de DMARC, y muchas organizaciones necesitan implantar DMARC por completo o alcanzar niveles de cumplimiento.
Esto supone un riesgo para los clientes, lo que pone de relieve la importancia de colmar esta laguna para reforzar la protección y la seguridad de los clientes.
Importancia de DMARC para la protección de la marca y la confianza del consumidor
La implantación eficaz de DMARC ayuda a proteger a las marcas de falsificadores y malos actores, preservando la reputación de la marca y fomentando la confianza de los clientes.
Al dar prioridad a la aplicación de DMARC, las empresas demuestran su compromiso con la protección de la información de los clientes y el fomento de experiencias de pago seguras.
Resumen
La norma PCI DSS constituye un marco crucial para la protección de las transacciones de pago, y la próxima versión 4.0 de PCI DSS destaca la implantación obligatoria de DMARC.
Las organizaciones de todos los sectores deben adoptar proactivamente DMARC y protocolos complementarios como SPF y DKIM para reforzar la autenticación del correo electrónico y protegerse contra los ataques de suplantación del mismo dominio.
Mediante la implantación temprana de DMARC, las empresas pueden mejorar la reputación de su marca, generar confianza en los clientes y mitigar el riesgo de ataques basados en el correo electrónico. Dar prioridad a la seguridad de los pagos y a la aplicación de DMARC creará un entorno de pago digital más seguro.
Preguntas frecuentes sobre PCI DSS V4.0
¿Qué requisito de seguridad de la PCI se refiere a la protección física de los datos de los clientes de los bancos?
La norma aborda un importante requisito de seguridad de la PCI relacionado con la protección física de los datos de los clientes de los bancos. Este requisito se centra en garantizar la aplicación de medidas adecuadas para asegurar el acceso físico a las áreas en las que se almacenan o procesan los datos de los clientes. Los bancos pueden proteger eficazmente la información de los clientes frente al acceso físico no autorizado cumpliendo este requisito.
¿Por qué se dice que los requisitos de la v4.0 tienen fecha de caducidad?
El PCI SSC ha anunciado que los nuevos requisitos de la versión 4.0 se actualizarán en el futuro, ya que ofrecerá a las organizaciones un año más (después de 2024) tras la retirada de la versión anterior de la DSS para cumplir los requisitos de conformidad.
¿Cuáles son los demás requisitos futuros para el cumplimiento de PCI DSS?
Los demás requisitos futuros para el cumplimiento de la v4.0 son los siguientes:
- Dar prioridad al cifrado, actualizar las claves de seguridad y garantizar certificados válidos que no hayan caducado.
- Supervisión de soportes extraíbles como dispositivos de almacenamiento de datos y pendrives
- Prioridad a la seguridad de la Web y las aplicaciones
- Priorizar la seguridad de las contraseñas
- Revisión periódica del acceso de los usuarios
- Amenazas a la ciberseguridad en los viajes y cómo mantenerse protegido - 18 de diciembre de 2024
- Buenas prácticas de ciberseguridad para nómadas digitales en Japón - 17 de diciembre de 2024
- Cambios de NCSC Mail Check y su impacto en la seguridad del correo electrónico del sector público británico - 13 de diciembre de 2024