DMARC PCI DSS : une exigence obligatoire pour la version 4.0

D'ici mars 2025, la mise en œuvre de DMARC sera obligatoire dans la version 4.0 des normes de sécurité PCI. normes de sécurité des données PCI version 4.0. DMARC, recommandé par le PCI SSC en tant qu'exigence future, protège les entreprises contre les attaques par courrier électronique telles que l'hameçonnage. Après cette date, les entreprises qui traitent des données de cartes bancaires devront mettre en œuvre DMARC pour une authentification robuste des courriels.

A politique DMARC de p=reject ou p=quarantine est cruciale pour se prémunir contre les attaques par usurpation d'identité. Cet article présente les règles de conformité DMARC PCI DSS et explique pourquoi il est important pour les organisations d'assurer la protection des données.

Qu'est-ce que la norme PCI SSC et PCI DSS ?

PCI SSC est un acronyme pour Payment Card Industry Security Standards Council (Conseil des normes de sécurité de l'industrie des cartes de paiement). Il s'agit d'une organisation mondiale qui établit et maintient les normes de sécurité des données PCI (PCI DSS). 

Elle regroupe les principaux réseaux de cartes, dont Mastercard, Discover, American Express et Visa, afin d'élaborer et de promouvoir les normes de sécurité nécessaires à la protection des transactions par carte de paiement.

Quels sont les objectifs de la norme PCI DSS ? 

Les normes de sécurité des données PCI sont un ensemble complet de normes de sécurité visant à garantir la protection des données des titulaires de cartes lors des transactions par carte de paiement.

• Protéger les données des titulaires de cartes : L'objectif principal de la norme PCI DSS est de protéger les informations sensibles des titulaires de cartes lors des transactions par carte de paiement, en empêchant l'accès non autorisé ou le vol.
• Mise en place d'environnements sécurisés pour les cartes de paiement : La norme décrit les exigences imposées aux commerçants pour établir et maintenir des environnements sécurisés pour les cartes de paiement, y compris une infrastructure de réseau sécurisée, des contrôles d'accès et le cryptage.
• Mettre en œuvre des mesures de protection appropriées : La norme PCI DSS impose des mesures de sécurité spécifiques telles que des pare-feu, des logiciels antivirus et des pratiques de codage sécurisées pour protéger les données des titulaires de cartes.
• Maintenir des pratiques de sécurité permanentes : La norme PCI DSS souligne l'importance d'une surveillance et d'un maintien continus des mesures de sécurité, y compris des analyses de vulnérabilité régulières, des tests de pénétration et des formations de sensibilisation à la sécurité pour les employés.
• Garantir la conformité dans l'ensemble du secteur des cartes de paiement : Les normes de sécurité des données PCI fournissent un cadre unifié pour la conformité, garantissant des mesures de sécurité cohérentes dans l'ensemble du secteur des cartes de paiement et promouvant la confiance dans l'écosystème des paiements.

Exigences à venir de la norme PCI DSS v4.0 - Quoi de neuf ?

PCI DSS v4.0 remplace PCI DSS version 3.2.1 pour lutter contre les menaces croissantes de cybersécurité orchestrées par des technologies sophistiquées. La norme PCI DSS v4.0 est mieux équipée pour gérer les derniers développements technologiques en matière de cybermenaces et les traiter de manière adéquate. 

Voici un résumé des changements :

• Une approche personnalisée pour répondre aux préoccupations des différentes organisations en matière de cybersécurité
• Procédures de test améliorées pour garantir une sécurité solide
• Plus d'attention portée aux contrôles de sécurité des réseaux 
• L'accent est mis sur une cryptographie forte pour garantir la sécurité des données des titulaires de cartes. 
• Suppression des exigences redondantes 
• Mise en œuvre du déploiement de DMARC 

Lire la liste complète des changements: Résumé des modifications de la norme PCI DSS

Quand la norme PCI DSS v4.0 entrera-t-elle en vigueur ? 

La norme PCI DSS v4.0 entrera pleinement en vigueur à partir de mars 2025, l'ancienne version expirant en mars 2024. Les organisations devront migrer vers de nouvelles politiques et exigences pour rester en conformité avec les derniers changements. 

DMARC - Meilleures pratiques et recommandations PCI DSS

Le PCI SSC reconnaît l'importance de DMARC en tant que meilleure pratique pour l'authentification du courrier électronique et recommande sa mise en œuvre pour renforcer les mesures de sécurité.

Selon les lignes directrices DMARC de la norme PCI DSS, les entreprises peuvent renforcer leur infrastructure de messagerie et se protéger contre les attaques par usurpation de nom de domaine.

La mise en œuvre de DMARC en tant qu'exigence de la norme PCI DSS

Dans la prochaine version 4.0 de la norme PCI DSS, la mise en œuvre de PCI DSS DMARC sera obligatoire pour les entreprises qui traitent, stockent ou transmettent des données de cartes.

D'ici mars 2025, les organisations doivent s'assurer que le DMARC de la norme PCI DSS est mis en œuvre avec des mesures complémentaires telles que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) afin d'établir une approche complète de l'authentification des courriels.

Mesures complémentaires au regard de la dernière mise à jour

FPS et DKIM sont des protocoles supplémentaires qui complètent DMARC dans l'authentification du courrier électronique.

SPF permet aux propriétaires de domaines de définir les expéditeurs autorisés pour leur domaine, tandis que DKIM vérifie l'intégrité des messages électroniques à l'aide de signatures numériques. 

Ensemble, ces protocoles renforcent la sécurité du courrier électronique et protègent contre les attaques basées sur le courrier électronique.

Assurer une authentification complète des courriels avec DMARC

Pour se protéger efficacement contre les attaques par usurpation de domaine, les entreprises doivent mettre en place une politique politique DMARC de "p=reject" ou "p=quarantine" au minimum.

Ainsi, les courriels suspects qui échouent aux contrôles DMARC sont soit rejetés, soit signalés pour un examen plus approfondi, ce qui réduit le risque d'attaques par courrier électronique.

Lire aussi : Qu'est-ce que l'authentification par courriel ?

Industries concernées par PCI DSS DMARC

Soins de santé

Le secteur des soins de santé traite des informations sensibles sur les patients, notamment les données des cartes de paiement pour les services médicaux. 

Les organismes de santé qui traitent les paiements par carte de crédit ou de débit sont soumis aux normes de sécurité des données PCI. 

DMARC et doivent mettre en œuvre DMARC pour renforcer la sécurité du courrier électronique et se protéger contre les attaques basées sur le courrier électronique.

Vente au détail

Les commerces de détail traitent largement les paiements par carte, ce qui en fait une cible privilégiée pour les violations de données. 

Le respect des normes de sécurité des données PCI est essentiel pour les détaillants afin de protéger les informations de paiement des clients. La mise en œuvre de DMARC ajoute une couche supplémentaire de sécurité, en garantissant une communication sécurisée par courrier électronique et en atténuant le risque d'attaques par usurpation de domaine.

L'hospitalité

Le secteur de l'hôtellerie et de la restauration gère un volume important de transactions par cartes de crédit et de débit, notamment dans les hôtels, les centres de villégiature et les restaurants. 

La conformité aux normes de sécurité des données PCI est essentielle pour ces établissements afin de protéger les données de paiement des clients. 

En mettant en œuvre DMARC, les entreprises du secteur de l'hôtellerie et de la restauration peuvent protéger la réputation de leur marque et renforcer la sécurité du courrier électronique contre les tentatives d'hameçonnage et d'usurpation d'identité.

Répondre aux besoins des entreprises et protéger les clients

Conformité obligatoire pour les entreprises de traitement des données de cartes

La conformité aux normes PCI DSS est nécessaire pour les entreprises qui traitent, stockent ou transmettent des données de cartes sous quelque forme que ce soit. 

La mise en œuvre de DMARC devient essentielle pour garantir une authentification complète du courrier électronique et pour se protéger contre les attaques par usurpation d'adresse électronique et par hameçonnage.

Le fossé entre l'application du DMARC et la sécurité des clients

Il existe un fossé important dans l'application de DMARC, de nombreuses organisations devant mettre en œuvre complètement DMARC ou atteindre des niveaux d'application. 

Cette situation présente un risque pour les consommateurs et souligne l'importance de combler cette lacune pour renforcer la protection et la sécurité des consommateurs.

Importance de DMARC pour la protection des marques et la confiance des consommateurs

Une mise en œuvre efficace de DMARC permet de protéger les marques contre les usurpateurs et les mauvais acteurs, de préserver la réputation de la marque et de renforcer la confiance des clients. 

En donnant la priorité à l'application de DMARC, les entreprises démontrent leur engagement à protéger les informations de leurs clients et à favoriser des expériences de paiement sécurisées.

Conclusion

La norme PCI DSS constitue un cadre essentiel pour la protection des transactions de paiement, et la prochaine version 4.0 de la norme PCI DSS met l'accent sur la mise en œuvre obligatoire de DMARC.

Les entreprises de tous secteurs doivent adopter de manière proactive DMARC et les protocoles complémentaires tels que SPF et DKIM pour renforcer l'authentification de leur courrier électronique et se protéger contre les attaques par usurpation de nom de domaine.

En mettant en œuvre DMARC dès le début, les entreprises peuvent améliorer la réputation de leur marque, renforcer la confiance de leurs clients et réduire le risque d'attaques par courrier électronique. En donnant la priorité à la sécurité des paiements et à l'application du DMARC, on crée un environnement de paiement numérique plus sûr et plus sécurisé.

FAQ sur la norme PCI DSS V4.0

Quelle exigence de sécurité PCI concerne la protection physique des données des clients des banques ?

La norme contient une exigence de sécurité PCI importante relative à la protection physique des données des clients des banques. Cette exigence vise à garantir la mise en œuvre de mesures appropriées pour sécuriser l'accès physique aux zones où les données des clients sont stockées ou traitées. En se conformant à cette exigence, les banques peuvent protéger efficacement les informations relatives aux clients contre tout accès physique non autorisé.

Pourquoi les exigences de la v4.0 sont-elles qualifiées de futures ?

Le PCI SSC a annoncé que les nouvelles exigences de la version 4.0 seraient datées du futur puisqu'elles offriraient aux organisations une année supplémentaire (après 2024) après le retrait de l'ancienne version de la norme DSS pour se conformer aux exigences de conformité.

Quelles sont les autres exigences futures de la conformité à la norme PCI DSS ?

Les autres exigences futures pour la conformité à la version 4.0 sont les suivantes :

• Donner la priorité au chiffrement, mettre à jour les clés de sécurité et garantir la validité des certificats qui n'ont pas expiré.
• Surveillance des supports amovibles tels que les dispositifs de stockage de données et les lecteurs de stylo
•  Priorité à la sécurité du Web et des applications
• Priorité à la sécurité des mots de passe
• Examen périodique de l'accès des utilisateurs

• À propos de
• Derniers messages

Ahona Rudra

Responsable du marketing numérique et de la rédaction de contenu chez PowerDMARC

Ahona travaille en tant que responsable du marketing numérique et de la rédaction de contenu chez PowerDMARC. Elle est une rédactrice, une blogueuse et une spécialiste du marketing passionnée par la cybersécurité et les technologies de l'information.

Derniers messages de Ahona Rudra (voir tous)

• Comment protéger vos mots de passe de l'IA - 20 septembre 2023
• Que sont les attaques basées sur l'identité et comment les arrêter ? - 20 septembre 2023
• Qu'est-ce que la gestion continue de l'exposition aux menaces (CTEM) ? - 19 septembre 2023