Entro marzo 2025, l'implementazione di DMARC sarà obbligatoria in PCI Data Security Standards versione 4.0. Il protocollo di autenticazione DMARC è raccomandato dal Payment Card Industry Security Standards Council (PCI SSC) come requisito futuro e protegge le aziende da attacchi basati sulle e-mail come il phishing.
Questo articolo illustra le norme di conformità DMARC PCI DSS e i motivi per cui è importante che le organizzazioni applichino la protezione dei dati.
Comprendere gli standard PCI DSS e PCI SSC
PCI SSC è l'acronimo di Payment Card Industry Security Standards Council (Consiglio per gli standard di sicurezza dell'industria delle carte di pagamento) ed è un'organizzazione globale che stabilisce e mantiene gli standard di sicurezza PCI. sicurezza dei dati (PCI DSS).
Unisce le principali reti di carte, tra cui Mastercard, Discover, American Express e Visa, per sviluppare e promuovere gli standard di sicurezza necessari a proteggere le transazioni con carte di pagamento.
Perché la conformità agli standard PCI DSS è essenziale per le aziende
Gli standard di sicurezza dei dati PCI sono una serie completa di standard di sicurezza che mirano a garantire la protezione dei dati dei titolari di carta durante le transazioni con carta di pagamento.
- Protezione dei dati dei titolari di carta: L'obiettivo principale del PCI DSS è quello di salvaguardare le informazioni sensibili dei titolari di carta durante le transazioni con carta di pagamento, impedendo l'accesso non autorizzato o il furto.
- Stabilire ambienti sicuri per le carte di pagamento: Lo standard delinea i requisiti per gli esercenti che devono creare e mantenere ambienti sicuri per le carte di pagamento, compresa l'infrastruttura di rete sicura, i controlli di accesso e la crittografia.
- Implementazione di misure di sicurezza adeguate: Gli standard PCI DSS richiedono misure di sicurezza specifiche come firewall, software antivirus e pratiche di codifica sicure per proteggere i dati dei titolari di carta.
- Mantenimento di pratiche di sicurezza costanti: Il PCI DSS sottolinea l'importanza di monitorare e mantenere costantemente le misure di sicurezza, tra cui scansioni regolari delle vulnerabilità, test di penetrazione e formazione dei dipendenti sulla sicurezza.
- Garantire la conformità in tutto il settore delle carte di pagamento: Gli standard di sicurezza dei dati PCI forniscono un quadro unificato per la conformità, garantendo misure di sicurezza coerenti in tutto il settore delle carte di pagamento e promuovendo la fiducia nell'ecosistema dei pagamenti.
Settori interessati dai requisiti PCI DSS v4.0
Le industrie e i settori interessati da questo nuovo mandato sono i seguenti:
Sanità
Il settore sanitario gestisce informazioni sensibili sui pazienti, compresi i dati delle carte di pagamento per i servizi medici.
Le organizzazioni sanitarie che elaborano pagamenti con carte di credito o di debito sono soggette agli standard di sicurezza dei dati PCI.
I requisiti DMARC devono essere implementati per migliorare la sicurezza delle e-mail e proteggere dagli attacchi basati sulle e-mail.
Vendita al dettaglio
Le attività di vendita al dettaglio elaborano ampiamente i pagamenti con carta, il che le rende un obiettivo primario per le violazioni dei dati.
L'adesione agli standard di sicurezza dei dati PCI è fondamentale per i rivenditori per proteggere le informazioni di pagamento dei clienti. L'implementazione del DMARC aggiunge un ulteriore livello di sicurezza, assicurando una comunicazione e-mail sicura e mitigando il rischio di attacchi di domain spoofing.
Ospitalità
Il settore alberghiero gestisce un volume significativo di transazioni con carte di credito e di debito, tra cui hotel, resort e ristoranti.
La conformità agli standard di sicurezza dei dati PCI è essenziale per questi stabilimenti per salvaguardare i dati di pagamento dei clienti.
Implementando il DMARC, le aziende del settore alberghiero possono proteggere la reputazione del proprio marchio e migliorare la sicurezza delle e-mail contro i tentativi di phishing e spoofing.
Requisiti chiave in PCI DSS v4.0 (in vigore dal 2025)
PCI DSS v4.0 sostituisce PCI DSS versione 3.2.1 per combattere la crescente preoccupazione delle minacce alla sicurezza informatica orchestrate da tecnologie sofisticate. PCI DSS v4.0 è meglio equipaggiato per gestire gli ultimi sviluppi tecnologici delle minacce informatiche e affrontarli in modo adeguato.
Ecco una sintesi delle modifiche:
- Un approccio personalizzato per affrontare le problematiche di cybersecurity delle diverse organizzazioni
- Procedure di test migliorate per garantire una sicurezza solida
- Maggiore attenzione ai controlli di sicurezza della rete
- Maggiore attenzione alla crittografia forte per garantire la sicurezza dei dati dei titolari di carta di credito
- Eliminazione dei requisiti superflui
- Applicazione del DMARC
Leggete l'elenco completo delle modifiche: Riepilogo delle modifiche agli standard PCI DSS
Ottenere la conformità agli standard PCI DSS con PowerDMARC
Il raggiungimento della conformità agli standard PCI DSS può essere semplificato con la suite di soluzioni per la sicurezza delle e-mail di PowerDMARC. Ecco come:
- Autenticazione e sicurezza delle e-mail: PowerDMARC vi aiuta a soddisfare la conformità agli standard PCI DSS versione 4 grazie all'implementazione guidata e semplice dei protocolli DMARC, SPF e DKIM.
- Reporting e monitoraggio completi: PowerDMARC fornisce report dettagliati e in tempo reale e funzionalità di monitoraggio che consentono di verificare i canali di posta elettronica e di mantenere un approccio alla conformità basato su prove.
- Gestione semplificata della conformità: Grazie a processi automatizzati e a un cruscotto di facile navigazione, PowerDMARC vi aiuta a gestire e documentare in modo efficiente le vostre attività di conformità agli standard PCI DSS, risparmiando tempo e risorse.
Il ruolo di DMARC nella sicurezza delle e-mail per la conformità agli standard PCI DSS
PCI SSC riconosce l'importanza del DMARC come best practice per l'autenticazione delle e-mail e ne raccomanda l'implementazione per migliorare le misure di sicurezza.
Secondo le linee guida PCI DSS DMARC, le aziende possono rafforzare la propria infrastruttura di posta elettronica e proteggersi dagli attacchi di domain spoofing. Nella prossima versione 4.0 degli standard PCI DSS, l'implementazione di PCI DSS DMARC sarà obbligatoria per le aziende che elaborano, memorizzano o trasmettono dati di carte di credito.
Entro marzo 2025, le organizzazioni devono garantire l'implementazione del PCI DSS DMARC insieme a misure complementari come SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) per stabilire un approccio completo all'autenticazione delle e-mail.
Cosa sono SPF, DKIM e DMARC?
SPF, DKIM e DMARC sono protocolli di autenticazione delle e-mail che aiutano a proteggere il vostro dominio e le vostre e-mail da attacchi di spoofing, phishing e impersonificazione. Questi protocolli aiutano a distinguere le e-mail legittime da quelle false inviate dal vostro dominio, garantendo che fonti non autorizzate non possano lanciare attacchi di phishing a vostro nome.
Leggi correlate: Che cos'è l'autenticazione e-mail?
Cosa fanno questi protocolli
SPF autorizza i mittenti legittimi per il vostro dominio, per assicurarsi che le fonti non autorizzate non possano inviare e-mail a nome del vostro dominio. DKIM aggiunge le firme digitali ai vostri messaggi in uscita per evitare che i messaggi vengano alterati da soggetti pericolosi prima di arrivare a destinazione.
Il DMARC è il collante che li unisce, consentendo ai mittenti di indicare ai server di ricezione come gestire le e-mail che non superano i controlli di autenticazione SPF e/o DKIM. Con il DMARC i mittenti possono scegliere di rifiutare, mettere in quarantena o consegnare le e-mail che non superano l'autenticazione.
Per proteggersi efficacemente dagli attacchi di spoofing dello stesso dominio, le organizzazioni devono stabilire una politica DMARC. DMARC di "p=rifiuto" o "p=quarantena" come minimo.
Rispondere ai requisiti aziendali e alla protezione dei clienti
Conformità obbligatoria per i responsabili del trattamento dei dati delle carte
La conformità agli standard PCI DSS è necessaria per le aziende che elaborano, archiviano o trasmettono qualsiasi tipo di dati relativi alle carte di credito.
L'implementazione del DMARC diventa fondamentale per garantire un'autenticazione completa delle e-mail e proteggere dagli attacchi di spoofing e phishing.
Il divario nell'applicazione del DMARC e nella sicurezza dei clienti
Esiste un divario significativo nell'applicazione del DMARC, con molte organizzazioni che devono implementare completamente il DMARC o raggiungere livelli di applicazione.
Ciò rappresenta un rischio per i clienti, evidenziando l'importanza di colmare questa lacuna per rafforzare la protezione e la sicurezza dei clienti.
Importanza del DMARC per la protezione del marchio e la fiducia dei consumatori
Un'efficace implementazione del DMARC aiuta a proteggere i marchi da spoofers e malintenzionati, preservando la reputazione del marchio e costruendo la fiducia dei clienti.
Dando priorità all'applicazione del DMARC, le aziende dimostrano il loro impegno a salvaguardare le informazioni dei clienti e a promuovere esperienze di pagamento sicure.
Riassunto
Il PCI DSS è un quadro fondamentale per la protezione delle transazioni di pagamento e l'imminente versione 4.0 del PCI DSS prevede l'implementazione obbligatoria del DMARC.
Le organizzazioni di tutti i settori devono adottare in modo proattivo il DMARC e i protocolli complementari quali SPF e DKIM per rafforzare l'autenticazione delle e-mail e proteggersi dagli attacchi di spoofing dello stesso dominio.
Implementando tempestivamente il DMARC, le aziende possono migliorare la reputazione del proprio marchio, costruire la fiducia dei clienti e mitigare il rischio di attacchi basati sulle e-mail. Dare priorità alla sicurezza dei pagamenti e all'applicazione del DMARC creerà un ambiente di pagamento digitale più sicuro e protetto.
FAQ su PCI DSS V4.0
Quale requisito di sicurezza PCI riguarda la protezione fisica dei dati dei clienti delle banche?
Un requisito di sicurezza PCI significativo è quello relativo alla protezione fisica dei dati dei clienti delle banche. Questo requisito si concentra sull'implementazione di misure appropriate per proteggere l'accesso fisico alle aree in cui i dati dei clienti vengono memorizzati o elaborati. Le banche possono proteggere efficacemente le informazioni dei clienti da accessi fisici non autorizzati aderendo a questo requisito.
Perché i requisiti della v4.0 sono definiti "futuri"?
Il PCI SSC ha annunciato che i nuovi requisiti per la v4.0 sono di data futura, in quanto offriranno alle organizzazioni un anno in più (dopo il 2024) dopo il ritiro della vecchia versione degli standard DSS per aderire ai requisiti di conformità.
Quali sono gli altri requisiti futuri per la conformità agli standard PCI DSS?
Gli altri requisiti futuri per la conformità alla versione 4.0 sono i seguenti:
- Dare priorità alla crittografia, aggiornare le chiavi di sicurezza e garantire certificati validi e non scaduti.
- Monitoraggio dei supporti rimovibili, come dispositivi di archiviazione dati e pen drive.
- Privilegiare la sicurezza del Web e delle applicazioni
- Privilegiare la sicurezza delle password
- Revisione periodica dell'accesso degli utenti
- Il DMARC diventa obbligatorio per il settore delle carte di pagamento a partire dal 2025 - 12 gennaio 2025
- Modifiche al controllo della posta dell'NCSC e loro impatto sulla sicurezza delle e-mail del settore pubblico del Regno Unito - 11 gennaio 2025
- Guida alla spiegazione dei tag DMARC aspf - 7 gennaio 2025