D'ici mars 2025, la mise en œuvre de DMARC sera obligatoire dans la version 4.0 des normes de sécurité PCI. normes de sécurité des données PCI version 4.0. Le protocole d'authentification DMARC est recommandé par le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC) en tant qu'exigence future, et il protège les entreprises contre les attaques par courrier électronique telles que l'hameçonnage.
Cet article présente les règles de conformité DMARC PCI DSS et explique pourquoi il est important pour les organisations de mettre en œuvre la protection des données.
Comprendre PCI DSS et PCI SSC
PCI SSC est l'acronyme de Payment Card Industry Security Standards Council (Conseil des normes de sécurité de l'industrie des cartes de paiement). Il s'agit d'une organisation mondiale qui établit et maintient les normes de sécurité des données PCI. de sécurité des données (PCI DSS).
Elle regroupe les principaux réseaux de cartes, dont Mastercard, Discover, American Express et Visa, afin d'élaborer et de promouvoir les normes de sécurité nécessaires à la protection des transactions par carte de paiement.
Pourquoi la conformité à la norme PCI DSS est-elle essentielle pour les entreprises ?
Les normes de sécurité des données PCI sont un ensemble complet de normes de sécurité visant à garantir la protection des données des titulaires de cartes lors des transactions par carte de paiement.
- Protéger les données des titulaires de cartes : L'objectif principal de la norme PCI DSS est de protéger les informations sensibles des titulaires de cartes lors des transactions par carte de paiement, en empêchant l'accès non autorisé ou le vol.
- Mise en place d'environnements sécurisés pour les cartes de paiement : La norme décrit les exigences imposées aux commerçants pour établir et maintenir des environnements sécurisés pour les cartes de paiement, y compris une infrastructure de réseau sécurisée, des contrôles d'accès et le cryptage.
- Mettre en œuvre des mesures de protection appropriées : La norme PCI DSS impose des mesures de sécurité spécifiques telles que des pare-feu, des logiciels antivirus et des pratiques de codage sécurisées pour protéger les données des titulaires de cartes.
- Maintenir des pratiques de sécurité permanentes : La norme PCI DSS souligne l'importance d'une surveillance et d'un maintien continus des mesures de sécurité, y compris des analyses de vulnérabilité régulières, des tests de pénétration et des formations de sensibilisation à la sécurité pour les employés.
- Garantir la conformité dans l'ensemble du secteur des cartes de paiement : Les normes de sécurité des données PCI fournissent un cadre unifié pour la conformité, garantissant des mesures de sécurité cohérentes dans l'ensemble du secteur des cartes de paiement et promouvant la confiance dans l'écosystème des paiements.
Secteurs concernés par les exigences de la norme PCI DSS v4.0
Les industries et secteurs suivants seront concernés par ce nouveau mandat :
Soins de santé
Le secteur des soins de santé traite des informations sensibles sur les patients, notamment les données des cartes de paiement pour les services médicaux.
Les organismes de santé qui traitent les paiements par carte de crédit ou de débit sont soumis aux normes de sécurité des données PCI.
DMARC et doivent mettre en œuvre DMARC pour renforcer la sécurité du courrier électronique et se protéger contre les attaques basées sur le courrier électronique.
Vente au détail
Les commerces de détail traitent largement les paiements par carte, ce qui en fait une cible privilégiée pour les violations de données.
Le respect des normes de sécurité des données PCI est essentiel pour les détaillants afin de protéger les informations de paiement des clients. La mise en œuvre de DMARC ajoute une couche supplémentaire de sécurité, en garantissant une communication sécurisée par courrier électronique et en atténuant le risque d'attaques par usurpation de domaine.
L'hospitalité
Le secteur de l'hôtellerie et de la restauration gère un volume important de transactions par cartes de crédit et de débit, notamment dans les hôtels, les centres de villégiature et les restaurants.
La conformité aux normes de sécurité des données PCI est essentielle pour ces établissements afin de protéger les données de paiement des clients.
En mettant en œuvre DMARC, les entreprises du secteur de l'hôtellerie et de la restauration peuvent protéger la réputation de leur marque et renforcer la sécurité du courrier électronique contre les tentatives d'hameçonnage et d'usurpation d'identité.
Principales exigences de la norme PCI DSS v4.0 (entrée en vigueur en 2025)
PCI DSS v4.0 remplace PCI DSS version 3.2.1 pour lutter contre les menaces croissantes de cybersécurité orchestrées par des technologies sophistiquées. La norme PCI DSS v4.0 est mieux équipée pour gérer les derniers développements technologiques en matière de cybermenaces et les traiter de manière adéquate.
Voici un résumé des changements :
- Une approche personnalisée pour répondre aux préoccupations des différentes organisations en matière de cybersécurité
- Procédures de test améliorées pour garantir une sécurité solide
- Plus d'attention portée aux contrôles de sécurité des réseaux
- L'accent est mis sur une cryptographie forte pour garantir la sécurité des données des titulaires de cartes.
- Suppression des exigences redondantes
- Mise en œuvre du déploiement de DMARC
Lire la liste complète des changements : Résumé des modifications de la norme PCI DSS
Mise en conformité avec la norme PCI DSS grâce à PowerDMARC
La mise en conformité avec la norme PCI DSS peut être simplifiée grâce à la suite de solutions de sécurité du courrier électronique de PowerDMARC. Voici comment :
- Authentification et sécurité des courriels: PowerDMARC vous aide à vous conformer à la norme PCI DSS version 4 grâce à une mise en œuvre simple et guidée des protocoles DMARC, SPF et DKIM.
- Rapport et suivi complets: PowerDMARC fournit des rapports détaillés en temps réel et des capacités de surveillance, vous permettant d'auditer vos canaux de messagerie et de maintenir une approche de la conformité basée sur des preuves.
- Gestion simplifiée de la conformité: Grâce à des processus automatisés et à un tableau de bord facile à consulter, PowerDMARC vous aide à gérer et à documenter efficacement vos efforts de mise en conformité avec la norme PCI DSS, ce qui vous permet de gagner du temps et d'économiser des ressources.
Le rôle de DMARC dans la sécurité du courrier électronique pour la conformité à la norme PCI DSS
Le PCI SSC reconnaît l'importance de DMARC en tant que meilleure pratique pour l'authentification du courrier électronique et recommande sa mise en œuvre pour renforcer les mesures de sécurité.
Selon les lignes directrices DMARC de la norme PCI DSS, les entreprises peuvent renforcer leur infrastructure de messagerie et se protéger contre les attaques par usurpation de domaine. Dans la prochaine version 4.0 de la norme PCI DSS, la mise en œuvre de PCI DSS DMARC sera obligatoire pour les entreprises qui traitent, stockent ou transmettent des données de cartes.
D'ici mars 2025, les organisations doivent s'assurer que le DMARC de la norme PCI DSS est mis en œuvre avec des mesures complémentaires telles que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) afin d'établir une approche complète de l'authentification des courriels.
Que sont SPF, DKIM et DMARC ?
SPF, DKIM et DMARC sont des protocoles d'authentification des courriels qui contribuent à protéger votre domaine et vos courriels contre les attaques de spoofing, de phishing et d'usurpation d'identité. Ces protocoles permettent de faire la distinction entre les courriels légitimes et les faux courriels envoyés depuis votre domaine, ce qui garantit que des sources non autorisées ne peuvent pas lancer d'attaques d'hameçonnage en votre nom.
Lire aussi : Qu'est-ce que l'authentification par courriel ?
Ce que font ces protocoles
SPF autorise les expéditeurs légitimes pour votre domaine, afin de s'assurer que des sources non autorisées ne peuvent pas envoyer de courriels au nom de votre domaine. DKIM ajoute des signatures numériques à vos messages sortants afin d'éviter qu'ils ne soient modifiés par des acteurs menaçants avant d'atteindre leur destination.
DMARC est la colle qui lie ces deux éléments, permettant aux expéditeurs d'indiquer aux serveurs de réception comment traiter les courriels qui échouent aux contrôles d'authentification SPF et/ou DKIM. Avec DMARC, les expéditeurs peuvent choisir de rejeter, de mettre en quarantaine ou de délivrer les courriels qui échouent à l'authentification.
Pour se protéger efficacement contre les attaques par usurpation de domaine, les entreprises doivent mettre en place une politique politique DMARC de "p=reject" ou "p=quarantine" au minimum.
Répondre aux besoins des entreprises et protéger les clients
Conformité obligatoire pour les entreprises de traitement des données de cartes
La conformité aux normes PCI DSS est nécessaire pour les entreprises qui traitent, stockent ou transmettent des données de cartes sous quelque forme que ce soit.
La mise en œuvre de DMARC devient essentielle pour garantir une authentification complète du courrier électronique et pour se protéger contre les attaques par usurpation d'adresse électronique et par hameçonnage.
Le fossé entre l'application du DMARC et la sécurité des clients
Il existe un fossé important dans l'application de DMARC, de nombreuses organisations devant mettre en œuvre complètement DMARC ou atteindre des niveaux d'application.
Cette situation présente un risque pour les consommateurs et souligne l'importance de combler cette lacune pour renforcer la protection et la sécurité des consommateurs.
Importance de DMARC pour la protection des marques et la confiance des consommateurs
Une mise en œuvre efficace de DMARC permet de protéger les marques contre les usurpateurs et les mauvais acteurs, de préserver la réputation de la marque et de renforcer la confiance des clients.
En donnant la priorité à l'application de DMARC, les entreprises démontrent leur engagement à protéger les informations de leurs clients et à favoriser des expériences de paiement sécurisées.
Résumé
La norme PCI DSS constitue un cadre essentiel pour la protection des transactions de paiement, et la prochaine version 4.0 de la norme PCI DSS met l'accent sur la mise en œuvre obligatoire de DMARC.
Les organisations de tous les secteurs doivent adopter de manière proactive DMARC et les protocoles complémentaires tels que SPF et DKIM afin de renforcer l'authentification de leurs courriels et de se protéger contre les attaques par usurpation de domaine.
En mettant en œuvre DMARC dès le début, les entreprises peuvent améliorer la réputation de leur marque, renforcer la confiance de leurs clients et réduire le risque d'attaques par courrier électronique. En donnant la priorité à la sécurité des paiements et à l'application du DMARC, on crée un environnement de paiement numérique plus sûr et plus sécurisé.
FAQ sur la norme PCI DSS V4.0
Quelle exigence de sécurité PCI concerne la protection physique des données des clients des banques ?
La norme contient une exigence de sécurité PCI importante relative à la protection physique des données des clients des banques. Cette exigence vise à garantir la mise en œuvre de mesures appropriées pour sécuriser l'accès physique aux zones où les données des clients sont stockées ou traitées. En se conformant à cette exigence, les banques peuvent protéger efficacement les informations relatives aux clients contre tout accès physique non autorisé.
Pourquoi les exigences de la v4.0 sont-elles qualifiées de futures ?
Le PCI SSC a annoncé que les nouvelles exigences de la version 4.0 seraient datées du futur puisqu'elles offriraient aux organisations une année supplémentaire (après 2024) après le retrait de l'ancienne version de la norme DSS pour se conformer aux exigences de conformité.
Quelles sont les autres exigences futures de la conformité à la norme PCI DSS ?
Les autres exigences futures pour la conformité à la version 4.0 sont les suivantes :
- Donner la priorité au chiffrement, mettre à jour les clés de sécurité et garantir la validité des certificats qui n'ont pas expiré.
- Surveillance des supports amovibles tels que les dispositifs de stockage de données et les lecteurs de stylo
- Priorité à la sécurité du Web et des applications
- Priorité à la sécurité des mots de passe
- Examen périodique de l'accès des utilisateurs
- La montée en puissance des escroqueries par prétexte dans les attaques de phishing renforcées - 15 janvier 2025
- DMARC devient obligatoire pour l'industrie des cartes de paiement à partir de 2025 - 12 janvier 2025
- Changements du NCSC Mail Check et leur impact sur la sécurité du courrier électronique dans le secteur public britannique - 11 janvier 2025