Site icon PowerDMARC

DMARC será obligatorio para el sector de las tarjetas de pago a partir de 2025

DMARC PCI DSS

En marzo de 2025, la implantación de DMARC será obligatoria en PCI Data Security Standards versión 4.0. El protocolo de autenticación DMARC está recomendado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) como requisito para el futuro, y protege a las empresas de ataques basados en el correo electrónico como el phishing.

Este artículo le explica la normativa de cumplimiento DMARC PCI DSS y por qué es importante que las organizaciones apliquen la protección de datos. 

Conocimiento de PCI DSS y PCI SSC 

PCI SSC es el acrónimo de Payment Card Industry Security Standards Council y es una organización mundial que establece y mantiene la norma PCI seguridad de datos (PCI DSS).

Combina las principales redes de tarjetas, incluidas Mastercard, Discover, American Express y Visa, para desarrollar y promover las normas de seguridad necesarias para proteger las transacciones con tarjetas de pago.

Por qué el cumplimiento de PCI DSS es esencial para las empresas

YouTube player

Las Normas de Seguridad de Datos de la PCI son un amplio conjunto de normas de seguridad cuyo objetivo es garantizar la protección de los datos de los titulares de tarjetas durante las transacciones con tarjetas de pago.

Sectores afectados por los requisitos de PCI DSS v4.0

Las siguientes industrias y sectores se verán afectados por este nuevo mandato: 

Salud

El sector sanitario maneja información sensible de los pacientes, incluidos los datos de las tarjetas de pago de servicios médicos. 

Las organizaciones sanitarias que procesan pagos con tarjeta de crédito o débito están sujetas a las normas de seguridad de datos PCI. 

DMARC y deben aplicar DMARC para mejorar la seguridad del correo electrónico y protegerse contra los ataques basados en el correo electrónico.

Venta al por menor

Los comercios minoristas procesan numerosos pagos con tarjeta, lo que los convierte en un objetivo prioritario para las filtraciones de datos. 

Cumplir las normas de seguridad de datos PCI es crucial para que los minoristas protejan la información de pago de sus clientes. La implementación de DMARC añade una capa adicional de seguridad, garantizando una comunicación segura por correo electrónico y mitigando el riesgo de ataques de suplantación de dominio.

Hospitalidad

El sector de la hostelería gestiona un importante volumen de transacciones con tarjetas de crédito y débito, incluidos hoteles, complejos turísticos y restaurantes. 

El cumplimiento de las normas de seguridad de datos PCI es esencial para que estos establecimientos salvaguarden los datos de pago de los clientes. 

Al implantar DMARC, las empresas hosteleras pueden proteger la reputación de su marca y mejorar la seguridad del correo electrónico frente a intentos de phishing y suplantación de identidad.

Requisitos clave de PCI DSS v4.0 (en vigor en 2025)

PCI DSS v4.0 sustituye a PCI DSS versión 3.2.1 para combatir la creciente preocupación por las amenazas a la ciberseguridad orquestadas por tecnologías sofisticadas. PCI DSS v4.0 está mejor equipada para hacer frente a los últimos avances tecnológicos en ciberamenazas y abordarlas adecuadamente. 

He aquí un resumen de los cambios:

Lea la lista completa de cambios: Resumen de cambios de PCI DSS

Cumplimiento de PCI DSS con PowerDMARC

El cumplimiento de la norma PCI DSS puede agilizarse con el conjunto de soluciones de seguridad del correo electrónico de PowerDMARC. He aquí cómo:

  1. Autenticación y seguridad del correo electrónico: PowerDMARC le ayuda en el proceso de cumplimiento de la norma PCI DSS versión 4 mediante la implementación guiada y sencilla de los protocolos DMARC, SPF y DKIM.
  2. Informes y control exhaustivos: PowerDMARC proporciona informes detallados en tiempo real y funciones de supervisión, lo que le permite auditar sus canales de correo electrónico y mantener un enfoque del cumplimiento basado en pruebas.
  3. Gestión simplificada del cumplimiento: Con procesos automatizados y un panel de control de fácil navegación, PowerDMARC le ayuda a gestionar y documentar sus esfuerzos de cumplimiento de PCI DSS de manera eficiente, ahorrando tiempo y recursos.

El papel de DMARC en la seguridad del correo electrónico para el cumplimiento de PCI DSS

El PCI SSC reconoce la importancia de DMARC como mejor práctica para la autenticación del correo electrónico y recomienda su implantación para mejorar las medidas de seguridad.

Según las directrices DMARC de PCI DSS, las empresas pueden fortificar su infraestructura de correo electrónico y protegerse contra los ataques de suplantación de dominio. En la próxima versión 4.0 de PCI DSS, la implantación de DMARC será obligatoria para las empresas que procesen, almacenen o transmitan datos de tarjetas.

Para marzo de 2025, las organizaciones deben asegurarse de que PCI DSS DMARC esté implantado junto con medidas complementarias como SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para establecer un enfoque integral de la autenticación del correo electrónico.

¿Qué son SPF, DKIM y DMARC?

SPF, DKIM y DMARC son protocolos de autenticación de correo electrónico que ayudan a proteger su dominio y sus correos electrónicos frente a ataques de suplantación de identidad y phishing. Estos protocolos ayudan a distinguir entre correos electrónicos legítimos y falsos que se envían desde tu dominio, garantizando que fuentes no autorizadas no puedan lanzar ataques de phishing en tu nombre. 

Lectura relacionada: ¿Qué es la autenticación de correo electrónico?

Qué hacen estos protocolos

SPF autoriza a remitentes legítimos para su dominio, para asegurarse de que fuentes no autorizadas no puedan enviar correos electrónicos en nombre de su dominio. DKIM añade firmas digitales a sus mensajes salientes para evitar que sean alterados por agentes de amenazas antes de que lleguen a su destino. 

DMARC es el pegamento que los une, permitiendo a los remitentes dar instrucciones a los servidores receptores sobre cómo tratar los correos electrónicos que no superan las comprobaciones de autenticación SPF y/o DKIM. Con DMARC, los remitentes pueden optar por rechazar, poner en cuarentena o entregar los correos electrónicos que no superen la autenticación. 

Para protegerse eficazmente contra los ataques de suplantación del mismo dominio, las organizaciones deben establecer una política DMARC de "p=reject" o "p=quarantine" como mínimo.

Cumplir los requisitos de la empresa y proteger al cliente

Cumplimiento obligatorio para los procesadores de datos de tarjetas

El cumplimiento de las normas PCI DSS es necesario para las empresas que procesan, almacenan o transmiten cualquier tipo de datos de tarjetas. 

La implantación de DMARC es fundamental para garantizar una autenticación completa del correo electrónico y protegerlo de los ataques de suplantación de identidad y phishing.

La brecha en la aplicación de DMARC y la seguridad del cliente

Existe una brecha significativa en el cumplimiento de DMARC, y muchas organizaciones necesitan implantar DMARC por completo o alcanzar niveles de cumplimiento. 

Esto supone un riesgo para los clientes, lo que pone de relieve la importancia de colmar esta laguna para reforzar la protección y la seguridad de los clientes.

Importancia de DMARC para la protección de la marca y la confianza del consumidor

La implantación eficaz de DMARC ayuda a proteger a las marcas de falsificadores y malos actores, preservando la reputación de la marca y fomentando la confianza de los clientes. 

Al dar prioridad a la aplicación de DMARC, las empresas demuestran su compromiso con la protección de la información de los clientes y el fomento de experiencias de pago seguras.

Resumen

La norma PCI DSS constituye un marco crucial para la protección de las transacciones de pago, y la próxima versión 4.0 de PCI DSS destaca la implantación obligatoria de DMARC.

Las organizaciones de todos los sectores deben adoptar proactivamente DMARC y protocolos complementarios como SPF y DKIM para reforzar la autenticación del correo electrónico y protegerse contra los ataques de suplantación del mismo dominio.

Mediante la implantación temprana de DMARC, las empresas pueden mejorar la reputación de su marca, generar confianza en los clientes y mitigar el riesgo de ataques basados en el correo electrónico. Dar prioridad a la seguridad de los pagos y a la aplicación de DMARC creará un entorno de pago digital más seguro.

Preguntas frecuentes sobre PCI DSS V4.0

¿Qué requisito de seguridad de la PCI se refiere a la protección física de los datos de los clientes de los bancos?

La norma aborda un importante requisito de seguridad de la PCI relacionado con la protección física de los datos de los clientes de los bancos. Este requisito se centra en garantizar la aplicación de medidas adecuadas para asegurar el acceso físico a las áreas en las que se almacenan o procesan los datos de los clientes. Los bancos pueden proteger eficazmente la información de los clientes frente al acceso físico no autorizado cumpliendo este requisito.

¿Por qué se dice que los requisitos de la v4.0 tienen fecha de caducidad?

El PCI SSC ha anunciado que los nuevos requisitos de la versión 4.0 se actualizarán en el futuro, ya que ofrecerá a las organizaciones un año más (después de 2024) tras la retirada de la versión anterior de la DSS para cumplir los requisitos de conformidad.

¿Cuáles son los demás requisitos futuros para el cumplimiento de PCI DSS?

Los demás requisitos futuros para el cumplimiento de la v4.0 son los siguientes:

Salir de la versión móvil