Entro marzo 2025, l'implementazione di DMARC sarà obbligatoria in PCI Data Security Standards versione 4.0. Il DMARC, raccomandato dal PCI SSC come requisito futuro, protegge le aziende da attacchi basati su e-mail come il phishing. Dopo la scadenza, le aziende che elaborano i dati delle carte di credito dovranno implementare il DMARC per una solida autenticazione delle e-mail.
A politica DMARC di p=rifiuto o p=quarantena è fondamentale per salvaguardarsi dagli attacchi di spoofing. Questo articolo illustra le norme di conformità DMARC PCI DSS e i motivi per cui è importante che le organizzazioni applichino la protezione dei dati.
Che cos'è lo standard PCI SSC e PCI DSS?
PCI SSC è l'acronimo di Payment Card Industry Security Standards Council ed è un'organizzazione globale che stabilisce e mantiene gli standard di sicurezza dei dati PCI (PCI DSS).
Unisce le principali reti di carte, tra cui Mastercard, Discover, American Express e Visa, per sviluppare e promuovere gli standard di sicurezza necessari a proteggere le transazioni con carte di pagamento.
Quali sono gli obiettivi di PCI DSS?
Gli standard di sicurezza dei dati PCI sono una serie completa di standard di sicurezza che mirano a garantire la protezione dei dati dei titolari di carta durante le transazioni con carta di pagamento.
- Protezione dei dati dei titolari di carta: L'obiettivo principale del PCI DSS è quello di salvaguardare le informazioni sensibili dei titolari di carta durante le transazioni con carta di pagamento, impedendo l'accesso non autorizzato o il furto.
- Stabilire ambienti sicuri per le carte di pagamento: Lo standard delinea i requisiti per gli esercenti che devono creare e mantenere ambienti sicuri per le carte di pagamento, compresa l'infrastruttura di rete sicura, i controlli di accesso e la crittografia.
- Implementazione di misure di sicurezza adeguate: Gli standard PCI DSS richiedono misure di sicurezza specifiche come firewall, software antivirus e pratiche di codifica sicure per proteggere i dati dei titolari di carta.
- Mantenimento di pratiche di sicurezza costanti: Il PCI DSS sottolinea l'importanza di monitorare e mantenere costantemente le misure di sicurezza, tra cui scansioni regolari delle vulnerabilità, test di penetrazione e formazione dei dipendenti sulla sicurezza.
- Garantire la conformità in tutto il settore delle carte di pagamento: Gli standard di sicurezza dei dati PCI forniscono un quadro unificato per la conformità, garantendo misure di sicurezza coerenti in tutto il settore delle carte di pagamento e promuovendo la fiducia nell'ecosistema dei pagamenti.
Requisiti imminenti di PCI DSS v4.0 - Quali sono le novità?
PCI DSS v4.0 sostituisce PCI DSS versione 3.2.1 per combattere la crescente preoccupazione delle minacce alla sicurezza informatica orchestrate da tecnologie sofisticate. PCI DSS v4.0 è meglio equipaggiato per gestire gli ultimi sviluppi tecnologici delle minacce informatiche e affrontarli in modo adeguato.
Ecco una sintesi delle modifiche:
- Un approccio personalizzato per affrontare le problematiche di cybersecurity delle diverse organizzazioni
- Procedure di test migliorate per garantire una sicurezza solida
- Maggiore attenzione ai controlli di sicurezza della rete
- Maggiore attenzione alla crittografia forte per garantire la sicurezza dei dati dei titolari di carta di credito
- Eliminazione dei requisiti superflui
- Applicazione del DMARC
Leggi l'elenco completo delle modifiche: Riepilogo delle modifiche agli standard PCI DSS
Quando entrerà in vigore PCI DSS v4.0?
Il PCI DSS v4.0 entrerà pienamente in vigore a partire dal marzo 2025, poiché la vecchia versione scade nel marzo 2024. Le organizzazioni dovranno migrare ai nuovi criteri e requisiti per rimanere conformi alle ultime modifiche.
Migliori pratiche e raccomandazioni DMARC PCI DSS
PCI SSC riconosce l'importanza del DMARC come best practice per l'autenticazione delle e-mail e ne raccomanda l'implementazione per migliorare le misure di sicurezza.
Secondo le linee guida PCI DSS DMARC, le aziende possono rafforzare la propria infrastruttura di posta elettronica e proteggersi dagli attacchi di domain spoofing.
Implementazione di DMARC come requisito PCI DSS
Nella prossima versione 4.0 degli standard PCI DSS, l'implementazione di PCI DSS DMARC sarà obbligatoria per le aziende che elaborano, memorizzano o trasmettono dati di carte di credito.
Entro marzo 2025, le organizzazioni devono garantire l'implementazione del PCI DSS DMARC insieme a misure complementari come SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) per stabilire un approccio completo all'autenticazione delle e-mail.
Misure complementari in relazione all'ultimo aggiornamento
SPF e DKIM sono protocolli aggiuntivi che integrano il DMARC nell'autenticazione delle e-mail.
SPF consente ai proprietari di domini di definire i mittenti autorizzati per il loro dominio, mentre DKIM verifica l'integrità dei messaggi e-mail utilizzando le firme digitali.
Insieme, questi protocolli migliorano la sicurezza delle e-mail e proteggono dagli attacchi basati sulle e-mail.
Garantire l'autenticazione completa delle e-mail con DMARC
Per proteggersi efficacemente dagli attacchi di spoofing dello stesso dominio, le organizzazioni devono stabilire una politica DMARC. DMARC di "p=rifiuto" o "p=quarantena" come minimo.
Ciò garantisce che le e-mail sospette che non superano i controlli DMARC vengano rifiutate o segnalate per un ulteriore controllo, riducendo il rischio di attacchi basati sulle e-mail.
Leggi correlate: Che cos'è l'autenticazione e-mail?
Settori interessati da PCI DSS DMARC
Sanità
Il settore sanitario gestisce informazioni sensibili sui pazienti, compresi i dati delle carte di pagamento per i servizi medici.
Le organizzazioni sanitarie che elaborano pagamenti con carte di credito o di debito sono soggette agli standard di sicurezza dei dati PCI.
I requisiti DMARC devono essere implementati per migliorare la sicurezza delle e-mail e proteggere dagli attacchi basati sulle e-mail.
Vendita al dettaglio
Le attività di vendita al dettaglio elaborano ampiamente i pagamenti con carta, il che le rende un obiettivo primario per le violazioni dei dati.
L'adesione agli standard di sicurezza dei dati PCI è fondamentale per i rivenditori per proteggere le informazioni di pagamento dei clienti. L'implementazione del DMARC aggiunge un ulteriore livello di sicurezza, assicurando una comunicazione e-mail sicura e mitigando il rischio di attacchi di domain spoofing.
Ospitalità
Il settore alberghiero gestisce un volume significativo di transazioni con carte di credito e di debito, tra cui hotel, resort e ristoranti.
La conformità agli standard di sicurezza dei dati PCI è essenziale per questi stabilimenti per salvaguardare i dati di pagamento dei clienti.
Implementando il DMARC, le aziende del settore alberghiero possono proteggere la reputazione del proprio marchio e migliorare la sicurezza delle e-mail contro i tentativi di phishing e spoofing.
Rispondere ai requisiti aziendali e alla protezione dei clienti
Conformità obbligatoria per i responsabili del trattamento dei dati delle carte
La conformità agli standard PCI DSS è necessaria per le aziende che elaborano, archiviano o trasmettono qualsiasi tipo di dati relativi alle carte di credito.
L'implementazione del DMARC diventa fondamentale per garantire un'autenticazione completa delle e-mail e proteggere dagli attacchi di spoofing e phishing.
Il divario nell'applicazione del DMARC e nella sicurezza dei clienti
Esiste un divario significativo nell'applicazione del DMARC, con molte organizzazioni che devono implementare completamente il DMARC o raggiungere livelli di applicazione.
Ciò rappresenta un rischio per i clienti, evidenziando l'importanza di colmare questa lacuna per rafforzare la protezione e la sicurezza dei clienti.
Importanza del DMARC per la protezione del marchio e la fiducia dei consumatori
Un'efficace implementazione del DMARC aiuta a proteggere i marchi da spoofers e malintenzionati, preservando la reputazione del marchio e costruendo la fiducia dei clienti.
Dando priorità all'applicazione del DMARC, le aziende dimostrano il loro impegno a salvaguardare le informazioni dei clienti e a promuovere esperienze di pagamento sicure.
Conclusione
Il PCI DSS è un quadro fondamentale per la protezione delle transazioni di pagamento e l'imminente versione 4.0 del PCI DSS prevede l'implementazione obbligatoria del DMARC.
Le organizzazioni di tutti i settori devono adottare in modo proattivo il DMARC e i protocolli complementari come SPF e DKIM per rafforzare l'autenticazione delle e-mail e proteggersi dagli attacchi di spoofing dello stesso dominio.
Implementando tempestivamente il DMARC, le aziende possono migliorare la reputazione del proprio marchio, costruire la fiducia dei clienti e mitigare il rischio di attacchi basati sulle e-mail. Dare priorità alla sicurezza dei pagamenti e all'applicazione del DMARC creerà un ambiente di pagamento digitale più sicuro e protetto.
FAQ su PCI DSS V4.0
Quale requisito di sicurezza PCI riguarda la protezione fisica dei dati dei clienti delle banche?
Un requisito di sicurezza PCI significativo è quello relativo alla protezione fisica dei dati dei clienti delle banche. Questo requisito si concentra sull'implementazione di misure appropriate per proteggere l'accesso fisico alle aree in cui i dati dei clienti vengono memorizzati o elaborati. Le banche possono proteggere efficacemente le informazioni dei clienti da accessi fisici non autorizzati aderendo a questo requisito.
Perché i requisiti della v4.0 sono definiti "futuri"?
Il PCI SSC ha annunciato che i nuovi requisiti per la v4.0 sono di data futura, in quanto offriranno alle organizzazioni un anno in più (dopo il 2024) dopo il ritiro della vecchia versione degli standard DSS per aderire ai requisiti di conformità.
Quali sono gli altri requisiti futuri per la conformità agli standard PCI DSS?
Gli altri requisiti futuri per la conformità alla versione 4.0 sono i seguenti:
- Dare priorità alla crittografia, aggiornare le chiavi di sicurezza e garantire certificati validi e non scaduti.
- Monitoraggio dei supporti rimovibili, come dispositivi di archiviazione dati e pen drive.
- Privilegiare la sicurezza del Web e delle applicazioni
- Privilegiare la sicurezza delle password
- Revisione periodica dell'accesso degli utenti
- Proxy per data center: Svelato il cavallo di battaglia del mondo dei proxy - 7 maggio 2024
- Kimsuky sfrutta i criteri DMARC "Nessuno" nei recenti attacchi di phishing - 6 maggio 2024
- Aumento delle truffe fiscali e degli attacchi di imitazione dell'e-mail del fisco durante la stagione fiscale - 2 maggio 2024