DMARC pour PCI DSS : exigences et recommandations de la version 4.0

Blog

DMARC est une bonne pratique recommandée par PCI DSS 4.0 pour renforcer la sécurité du courrier électronique. Renforcez dès aujourd'hui votre stratégie de conformité pour lutter contre la fraude par e-mail.

par Ahona Rudra

Temps de lecture : 6 min
DMARC pour PCI DSS : exigences et recommandations de la version 4.0
Table des matières-

LA MISE EN ŒUVRE DE DMARC est recommandée comme "bonne pratique" dans le cadre de la norme PCI DSS version 4.0La mise en œuvre de DMARC est recommandée comme "bonne pratique" dans la version 4.0 de la norme PCI DSS, en complément d'autres mesures de sécurité dans le cadre d'une approche globale de la protection du courrier électronique et de la prévention de la fraude. Cette initiative de l'industrie des cartes de paiement vise à renforcer la sécurité des paiements pour toutes les entités qui manipulent, stockent ou traitent les données des titulaires de cartes. DMARC joue un rôle essentiel en aidant les entreprises à prévenir les attaques par courrier électronique, telles que le phishing et le spoofing, et en protégeant les informations sensibles échangées par courrier électronique.

Bien que DMARC, associé à d'autres précautions, soit décrit comme un exemple de bonnes pratiques dans la version actuelle de la norme PCI DSS, il n'est pas obligatoire ou requis par cette norme. Toutefois, l'adoption de DMARC dans le cadre de votre stratégie de sécurité du courrier électronique peut considérablement améliorer la protection des domaines, prévenir les attaques par hameçonnage et garantir une meilleure délivrabilité du courrier électronique - des aspects essentiels d'un cadre de cybersécurité solide qui peut compléter vos efforts de mise en conformité avec la norme PCI DSS.

Points clés à retenir

  • La norme PCI DSS v4.0 recommande la mise en œuvre de DMARC pour les organisations qui gèrent ou traitent des paiements par carte.
  • DMARC aide les organisations à se protéger contre les attaques de phishing et d'usurpation d'adresse électronique.
  • La norme PCI DSS mentionne la mise en œuvre de DMARC, SPF et DKIM avec d'autres contrôles anti-phishing pour une sécurité robuste du courrier électronique.
  • La conformité à la norme PCI DSS v4.0 est essentielle pour protéger les données des titulaires de cartes et garantir la sécurité des transactions de paiement.
  • L'application précoce de DMARC peut instaurer la confiance, améliorer la délivrabilité du courrier électronique et réduire les risques de sécurité liés au courrier électronique.

Exigences clés pour la conformité à la norme PCI DSS 4.0 (à partir de 2025)

PCI DSS v4.0 remplace PCI DSS version 3.2.1 pour lutter contre les menaces croissantes de cybersécurité orchestrées par des technologies sophistiquées. La norme PCI DSS v4.0 est mieux équipée pour gérer les derniers développements technologiques en matière de cybermenaces et les traiter de manière adéquate. 

Les principaux changements sont les suivants :

  1. Renforcement de la sécurité du courrier électronique: PCI DSS v4.0 encourage les organisations traitant des paiements par carte à mettre en œuvre DMARC pour renforcer la sécurité du courrier électronique et réduire les risques d'usurpation d'adresse électronique et d'atteinte à la protection des données.
  2. Contrôles d'accès renforcés: L'authentification multifactorielle (MFA) est requise pour tous les accès, ainsi que des politiques de mot de passe plus strictes (la longueur minimale est passée de 7 à 12 caractères) et des règles de verrouillage des comptes mises à jour (après 10 tentatives de connexion infructueuses au lieu de 6).
  3. Revue annuelle des technologies: Le matériel et les logiciels doivent être revus au moins une fois par an pour éviter les vulnérabilités.
  4. Gestion proactive des risques: Les organisations doivent remédier rapidement aux défaillances des contrôles de sécurité et adopter des approches personnalisées pour relever les défis uniques en matière de cybersécurité.
  5. Renforcement de la sécurité des données et des réseaux: Se concentrer sur un cryptage solide, des autorisations d'accès plus strictes et des mesures de sécurité du réseau améliorées pour protéger les données des titulaires de cartes.
  6. Conformité rationalisée: Simplification grâce à la suppression des exigences obsolètes et à l'amélioration des procédures de test afin de garantir une sécurité totale.

Lire la liste complète des changements : Résumé des modifications de la norme PCI DSS

Qui est concerné ?

La recommandation de la norme PCI DSS concernant DMARC profitera à toute entité qui stocke, traite ou transmet des données sur les titulaires de cartes, des informations sur les cartes de paiement ou des données d'authentification sensibles. Il s'agit d'organisations, d'individus, de composants de systèmes et de fournisseurs de services.

Les entités concernées sont les suivantes

  • Toute organisation, grande ou petite, qui gère ou traite des paiements par carte. 
  • Toute entreprise ou fournisseur de services qui traite, acquiert, émet ou accepte des données relatives aux titulaires de cartes.
  • Composants du système, personnes et processus qui stockent, traitent ou transmettent des données relatives au titulaire de la carte (CHD) et/ou des données d'authentification sensibles (SAD).
  • Composants du système dotés d'une connectivité illimitée avec ceux qui traitent les DSC/SAD, même s'ils ne les stockent pas, ne les traitent pas ou ne les transmettent pas eux-mêmes.

Les industries concernées sont les suivantes

  • Entreprises de commerce électronique 
  • Institutions financières 
  • Détaillants 
  • Soins de santé 
  • L'hospitalité 
  • Prestataires de services et vendeurs tiers 
  • Toute firme, entreprise ou société traitant des paiements par carte

Mise en œuvre de DMARC pour la conformité PCI DSS avec PowerDMARC

DMARC, bien qu'il ne s'agisse pas d'une exigence unique, complète les efforts de mise en conformité avec la norme PCI DSS. La mise en œuvre de DMARC peut être simplifiée grâce à la suite de solutions hébergées d'authentification du courrier électronique de PowerDMARC. Voici comment :

  1. ServicesDMARC hébergés: Les services hébergés de PowerDMARC vous aident à respecter la norme PCI DSS version 4 grâce à la mise en œuvre simple et automatisée de DMARC, SPF et DKIM.
  2. Rapports et surveillance DMARC complets : PowerDMARC fournit des rapports détaillés et simplifiés sur les agrégats DMARC et des rapports forensiques. Cela vous permet d'auditer vos canaux de messagerie et de maintenir une approche de la conformité basée sur des preuves.
  3. Gestion simplifiée de la conformité : Grâce à des processus automatisés et à un tableau de bord facile à consulter, PowerDMARC vous aide à gérer et à documenter efficacement vos efforts de mise en conformité avec la norme PCI DSS, ce qui vous permet de gagner du temps et d'économiser des ressources.

Conséquences de l'absence de DMARC

Bien que la norme PCI DSS n'impose pas de sanctions directes en cas de non mise en œuvre de DMARC, les organisations peuvent être confrontées à des risques importants en matière de cybersécurité.

L'absence de mise en œuvre de DMARC peut entraîner : 

  1. Risque accru de cyberattaques : L'absence de DMARC rend votre nom de domaine vulnérable à l'usurpation d'identité, à l'hameçonnage et à l'usurpation d'identité.
  2. Mauvaise délivrabilité des courriels : Sans authentification, la délivrabilité de vos courriels peut être compromise, ce qui entraîne une augmentation du taux de rebond des courriels.
  3. Atteinte à la réputation : Le risque accru d'attaques par hameçonnage peut nuire à la réputation de votre marque et réduire la confiance des clients.

Simplifiez la sécurité avec PowerDMARC !

15 jours d'essaiRéservez une démo

Comprendre PCI DSS et PCI SSC 

PCI SSC est l'acronyme de Payment Card Industry Security Standards Council (Conseil des normes de sécurité de l'industrie des cartes de paiement). Il s'agit d'une organisation mondiale qui établit et maintient les normes de sécurité des données PCI. de sécurité des données (PCI DSS).

Elle regroupe les principaux réseaux de cartes, dont Mastercard, Discover, American Express et Visa, afin d'élaborer et de promouvoir les normes de sécurité nécessaires à la protection des transactions par carte de paiement.

Pourquoi la conformité à la norme PCI DSS est-elle essentielle pour les entreprises ?

Les normes de sécurité des données PCI sont un ensemble complet de normes de sécurité visant à garantir la protection des données des titulaires de cartes lors des transactions par carte de paiement.

  • Protéger les données des titulaires de cartes : L'objectif principal de la norme PCI DSS est de protéger les informations sensibles des titulaires de cartes lors des transactions par carte de paiement, en empêchant l'accès non autorisé ou le vol.
  • Mise en place d'environnements sécurisés pour les cartes de paiement : La norme décrit les exigences imposées aux commerçants pour établir et maintenir des environnements sécurisés pour les cartes de paiement, y compris une infrastructure de réseau sécurisée, des contrôles d'accès et le cryptage.
  • Mettre en œuvre des mesures de protection appropriées : La norme PCI DSS impose des mesures de sécurité spécifiques telles que des pare-feu, des logiciels antivirus et des pratiques de codage sécurisées pour protéger les données des titulaires de cartes.
  • Maintenir des pratiques de sécurité permanentes : La norme PCI DSS souligne l'importance d'une surveillance et d'un maintien continus des mesures de sécurité, y compris des analyses de vulnérabilité régulières, des tests de pénétration et des formations de sensibilisation à la sécurité pour les employés.
  • Garantir la conformité dans l'ensemble du secteur des cartes de paiement : Les normes de sécurité des données PCI fournissent un cadre unifié pour la conformité, garantissant des mesures de sécurité cohérentes dans l'ensemble du secteur des cartes de paiement et promouvant la confiance dans l'écosystème des paiements.

DMARC pour PCI DSS : pourquoi c'est important 

DMARC, SPF et DKIM sont des protocoles d'authentification des courriels qui contribuent à protéger votre domaine et vos courriels contre les attaques par usurpation d'identité, le phishing et l'usurpation d'identité. Ces protocoles permettent de faire la distinction entre les courriels légitimes et les faux courriels envoyés à partir de votre domaine, en veillant à ce que des sources non autorisées ne puissent pas falsifier votre nom de domaine. Pour se protéger efficacement contre les attaques par usurpation de nom de domaine, les organisations doivent mettre en place une DMARC de "p=reject" ou "quarantine" au minimum.

Le PCI SSC inclut la mise en œuvre de DMARC dans ses efforts de lutte contre le spam et le phishing. DMARC offre plusieurs avantages aux organisations qui le mettent en œuvre, notamment 

  • Amélioration de la délivrabilité du courrier électronique 
  • Réduction de la fraude par courrier électronique et de l'usurpation de nom de domaine 
  • Réduction du nombre de plaintes pour spam et de courriels non sollicités 
  • Renforcement de la réputation, de la crédibilité et de la confiance de la marque 
  • Conformité avec les réglementations gouvernementales mondiales et locales  

Comment se conformer aux exigences et aux recommandations de la norme PCI DSS ? 

Pour rester en conformité avec les recommandations de la norme PCI DSS, les entreprises peuvent : 

  1. Mettre en œuvre DMARC, SPF et DKIM ainsi que les technologies anti-hameçonnage correspondantes. 
  2. Adoptez une politique DMARC (comme p=reject) pour commencer à prévenir les cyberattaques par courrier électronique. 
  3. Mettez en œuvre des solutions de protection contre les logiciels malveillants et les URL afin d'empêcher les campagnes de spam d'atteindre vos employés. 
  4. Faites suivre à toute votre équipe une formation de sensibilisation à la sécurité au moins une fois par mois afin de rester au fait des dernières techniques d'hameçonnage.

Résumé

La norme PCI DSS constitue un cadre essentiel pour la protection des transactions de paiement. La prochaine version 4.0 de la norme PCI DSS souligne l'importance de la sécurité du courrier électronique dans la protection des données sensibles des cartes de paiement. Il est conseillé aux entreprises de tous secteurs d'adopter de manière proactive DMARC, des protocoles complémentaires tels que SPF et DKIM, ou des contrôles anti-phishing similaires afin de renforcer leurs défenses contre les violations de données. 

En mettant en œuvre DMARC dès le début, les entreprises peuvent également améliorer la réputation de leur marque, gagner la confiance de leurs clients et améliorer l'acheminement du courrier électronique. En accordant la priorité à la sécurité des paiements et à l'application du DMARC, on favorisera un environnement de paiement numérique plus sûr dans le monde entier.

Inscrivez-vous dès aujourd'hui pour améliorer la sécurité de vos emails avec PowerDMARC et renforcer vos efforts de conformité avec les meilleures pratiques PCI DSS !

FAQ sur la norme PCI DSS V4.0

Quelle exigence de sécurité PCI concerne la protection physique des données des clients des banques ?

La norme contient une exigence de sécurité PCI importante relative à la protection physique des données des clients des banques. Cette exigence vise à garantir la mise en œuvre de mesures appropriées pour sécuriser l'accès physique aux zones où les données des clients sont stockées ou traitées. En se conformant à cette exigence, les banques peuvent protéger efficacement les informations relatives aux clients contre tout accès physique non autorisé.

Pourquoi les exigences de la v4.0 sont-elles qualifiées de futures ?

Le PCI SSC a annoncé que les nouvelles exigences de la version 4.0 seraient datées du futur puisqu'elles offriraient aux organisations une année supplémentaire (après 2024) après le retrait de l'ancienne version de la norme DSS pour se conformer aux exigences de conformité.

Quelles sont les autres exigences futures de la conformité à la norme PCI DSS ?

Les autres exigences futures pour la conformité à la version 4.0 sont les suivantes :

  • Donner la priorité au chiffrement, mettre à jour les clés de sécurité et garantir la validité des certificats qui n'ont pas expiré.
  • Surveillance des supports amovibles tels que les dispositifs de stockage de données et les lecteurs de stylo
  • Priorité à la sécurité du Web et des applications
  • Priorité à la sécurité des mots de passe
  • Examen périodique de l'accès des utilisateurs

Derniers messages de Ahona Rudra (voir tous)
554 5.7.5 Erreur permanente d'évaluation de la politique DMARC [SOLVÉ]554 5.7.5 Erreur permanente dans l'évaluation de la politique DMARCRésolution des problèmes liés aux courriels rejetés en vertu de la politique DMARCRésolution du problème "Courriel rejeté par la politique DMARC" [SOLVÉ].