Tegen maart 2025 zal de implementatie van DMARC verplicht zijn in PCI Data Security Standards versie 4.0. Het DMARC authenticatieprotocol wordt aanbevolen door de Payment Card Industry Security Standards Council (PCI SSC) als een toekomstige vereiste en het beschermt bedrijven tegen op e-mail gebaseerde aanvallen zoals phishing.
Dit artikel geeft een overzicht van de DMARC PCI DSS compliance voorschriften en waarom het belangrijk is voor organisaties om gegevensbescherming af te dwingen.
PCI DSS en PCI SSC begrijpen
PCI SSC is een acroniem voor Payment Card Industry Security Standards Council en is een wereldwijde organisatie die de PCI Gegevensbeveiliging standaarden (PCI DSS) opstelt en onderhoudt.
Het verenigt de belangrijkste kaartnetwerken, waaronder Mastercard, Discover, American Express en Visa, om de veiligheidsstandaarden te ontwikkelen en te promoten die nodig zijn om betaalkaarttransacties te beschermen.
Waarom PCI DSS compliance essentieel is voor bedrijven
De PCI Data Security Standards is een uitgebreide reeks beveiligingsstandaarden die de bescherming van de gegevens van kaarthouders tijdens betaalkaarttransacties moeten garanderen.
- Gegevens van kaarthouders beschermen: Het belangrijkste doel van de PCI DSS is om de gevoelige informatie van kaarthouders tijdens betaalkaarttransacties te beschermen en onbevoegde toegang of diefstal te voorkomen.
- Het opzetten van veilige betaalkaartomgevingen: De standaard schetst vereisten voor handelaren voor het opzetten en onderhouden van veilige betaalkaartomgevingen, inclusief veilige netwerkinfrastructuur, toegangscontroles en encryptie.
- De juiste beveiligingen implementeren: PCI DSS vereist specifieke beveiligingsmaatregelen zoals firewalls, antivirussoftware en veilige coderingspraktijken om gegevens van kaarthouders te beschermen.
- Het onderhouden van voortdurende beveiligingspraktijken: De PCI DSS benadrukt het belang van het voortdurend controleren en onderhouden van beveiligingsmaatregelen, waaronder regelmatige kwetsbaarheidsscans, penetratietests en beveiligingsbewustzijnstrainingen voor werknemers.
- Garanderen van compliance in de hele betaalkaartenindustrie: De PCI Data Security Standards bieden een uniform kader voor compliance, waardoor consistente beveiligingsmaatregelen in de hele betaalkaartenindustrie worden gegarandeerd en het vertrouwen in het betaalecosysteem wordt bevorderd.
Industrieën beïnvloed door PCI DSS v4.0 vereisten
De volgende industrieën en sectoren zullen beïnvloed worden door dit nieuwe mandaat:
Gezondheidszorg
In de gezondheidszorg wordt gevoelige patiëntinformatie verwerkt, waaronder betaalkaartgegevens voor medische diensten.
Organisaties in de gezondheidszorg die credit- of debetkaartbetalingen verwerken, zijn onderhevig aan de PCI Data Security Standards.
DMARC-vereisten en moeten DMARC implementeren om de beveiliging van e-mail te verbeteren en te beschermen tegen aanvallen via e-mail.
Detailhandel
Detailhandelsbedrijven verwerken op grote schaal kaartbetalingen, waardoor ze een doelwit bij uitstek zijn voor datalekken.
Het naleven van de PCI Data Security Standards is cruciaal voor retailers om de betalingsgegevens van klanten te beschermen. Het implementeren van DMARC voegt een extra beveiligingslaag toe, zorgt voor veilige e-mailcommunicatie en vermindert het risico op aanvallen met domain spoofing.
Gastvrijheid
De horeca verwerkt een aanzienlijk volume aan creditcard- en betaalkaarttransacties, waaronder hotels, resorts en restaurants.
Naleving van de PCI Data Security Standards is essentieel voor deze instellingen om de betalingsgegevens van klanten te beschermen.
Door DMARC te implementeren kunnen horecabedrijven hun merkreputatie beschermen en e-mail beter beveiligen tegen phishing en spoofing.
Belangrijkste vereisten in PCI DSS v4.0 (geldig vanaf 2025)
PCI DSS v4.0 vervangt PCI DSS versie 3.2.1 om het hoofd te bieden aan de toenemende bezorgdheid over cyberbedreigingen die worden georkestreerd door geavanceerde technologieën. PCI DSS v4.0 is beter uitgerust om met de nieuwste technologische ontwikkelingen in cyberbedreigingen om te gaan en deze adequaat aan te pakken.
Hier volgt een samenvatting van de wijzigingen:
- Een aanpak op maat voor de cyberbeveiligingsproblemen van verschillende organisaties
- Verbeterde testprocedures om robuuste beveiliging te garanderen
- Meer aandacht voor netwerkbeveiligingscontroles
- Meer aandacht voor sterke cryptografie om de veiligheid van de gegevens van de kaarthouder te garanderen
- Overbodige vereisten verwijderen
- DMARC-implementatie afdwingen
Lees de volledige lijst met wijzigingen: PCI DSS samenvatting van wijzigingen
PCI DSS-compliance bereiken met PowerDMARC
Het bereiken van PCI DSS-compliance kan worden gestroomlijnd met PowerDMARC's suite van oplossingen voor e-mailbeveiliging. Dit is hoe:
- E-mailverificatie en -beveiliging: PowerDMARC helpt u bij het voldoen aan PCI DSS versie 4 compliance door middel van geleide en eenvoudige implementatie van DMARC, SPF en DKIM protocollen.
- Uitgebreide rapportage en bewaking: PowerDMARC biedt gedetailleerde, realtime rapporten en bewakingsmogelijkheden, zodat u uw e-mailkanalen kunt controleren en een op bewijs gebaseerde aanpak voor naleving kunt handhaven.
- Vereenvoudigd nalevingsbeheer: Met geautomatiseerde processen en een eenvoudig te navigeren dashboard helpt PowerDMARC u bij het efficiënt beheren en documenteren van uw PCI DSS compliance inspanningen, waardoor u tijd en middelen bespaart.
De rol van DMARC in e-mailbeveiliging voor PCI DSS-compliance
De PCI SSC erkent het belang van DMARC als een best practice voor e-mailverificatie en beveelt de implementatie ervan aan om de beveiligingsmaatregelen te verbeteren.
Volgens de PCI DSS DMARC richtlijnen kunnen bedrijven hun e-mailinfrastructuur versterken en beschermen tegen aanvallen van domain spoofing. In de komende PCI DSS versie 4.0 zal PCI DSS DMARC implementatie verplicht zijn voor bedrijven die kaartgegevens verwerken, opslaan of verzenden.
In maart 2025 moeten organisaties ervoor zorgen dat PCI DSS DMARC is geïmplementeerd naast aanvullende maatregelen zoals SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail) om een allesomvattende aanpak voor e-mailverificatie te realiseren.
Wat zijn SPF, DKIM en DMARC?
SPF, DKIM en DMARC zijn e-mailverificatieprotocollen die uw domein en e-mails helpen beschermen tegen spoofing-, phishing- en imitatieaanvallen. Deze protocollen helpen onderscheid te maken tussen legitieme en valse e-mails die vanaf uw domein worden verzonden en zorgen ervoor dat onbevoegde bronnen geen phishingaanvallen in uw naam kunnen uitvoeren.
Gerelateerd lezen: Wat is e-mailverificatie?
Wat deze protocollen doen
SPF autoriseert legitieme afzenders voor uw domein om ervoor te zorgen dat onbevoegde bronnen geen e-mails kunnen verzenden namens uw domein. DKIM voegt digitale handtekeningen toe aan uw uitgaande berichten om te voorkomen dat berichten worden gewijzigd door bedreigers voordat ze hun bestemming bereiken.
DMARC is de lijm die dit met elkaar verbindt, waarmee verzenders ontvangende servers kunnen instrueren hoe ze moeten omgaan met e-mails die de verificatiecontroles van SPF en/of DKIM niet doorstaan. Met DMARC kunnen verzenders ervoor kiezen om e-mails die de verificatie niet doorstaan te weigeren, in quarantaine te plaatsen of af te leveren.
Om organisaties effectief te beschermen tegen spoofingaanvallen met hetzelfde domein, moeten ze een DMARC-beleid p=afwijzen" of "p=quarantine" instellen.
Bedrijfsvereisten en klantbescherming aanpakken
Verplichte naleving voor kaartgegevensverwerkers
Voldoen aan de PCI DSS-normen is noodzakelijk voor bedrijven die kaartgegevens verwerken, opslaan of verzenden.
Het implementeren van DMARC wordt cruciaal om uitgebreide e-mailverificatie te garanderen en bescherming te bieden tegen e-mailspoofing en phishingaanvallen.
De kloof in DMARC-handhaving en klantveiligheid
Er is een aanzienlijke kloof in DMARC-handhaving, waarbij veel organisaties DMARC volledig moeten implementeren of handhavingsniveaus moeten bereiken.
Dit vormt een risico voor klanten en benadrukt het belang van het dichten van deze kloof om de bescherming en veiligheid van klanten te versterken.
Het belang van DMARC voor merkbescherming en consumentenvertrouwen
Een effectieve DMARC-implementatie helpt merken te beschermen tegen spoofers en bad actors, waardoor de merkreputatie behouden blijft en het vertrouwen van de klant wordt opgebouwd.
Door DMARC-handhaving prioriteit te geven, laten bedrijven zien dat ze klantgegevens willen beschermen en veilige betalingservaringen willen bevorderen.
Samenvattend
De PCI DSS dient als een cruciaal raamwerk voor de bescherming van betalingstransacties en de aankomende PCI DSS versie 4.0 benadrukt de verplichte implementatie van DMARC.
Organisaties in verschillende branches moeten DMARC en aanvullende protocollen zoals SPF en DKIM om hun e-mailverificatie te versterken en te beschermen tegen aanvallen met hetzelfde domein (same domain spoofing).
Door DMARC in een vroeg stadium te implementeren, kunnen bedrijven hun merkreputatie verbeteren, vertrouwen bij klanten opbouwen en het risico op aanvallen via e-mail beperken. Door prioriteit te geven aan betalingsbeveiliging en DMARC-handhaving wordt een veiligere en betrouwbaardere digitale betaalomgeving gecreëerd.
PCI DSS V4.0 veelgestelde vragen
Welke PCI-beveiligingsvereiste heeft betrekking op de fysieke bescherming van klantgegevens van banken?
Eén belangrijke PCI beveiligingseis met betrekking tot de fysieke bescherming van klantgegevens van banken wordt in de standaard behandeld. Deze vereiste is gericht op het nemen van passende maatregelen om de fysieke toegang te beveiligen tot gebieden waar klantgegevens worden opgeslagen of verwerkt. Banken kunnen klantgegevens effectief beschermen tegen ongeoorloofde fysieke toegang door zich aan deze vereiste te houden.
Waarom worden de vereisten voor v4.0 als toekomstig aangeduid?
De PCI SSC heeft aangekondigd dat de nieuwe vereisten voor v4.0 toekomstgericht zijn, omdat ze organisaties een extra jaar (na 2024) geven na de pensionering van de oudere DSS-versie om aan de compliancevereisten te voldoen.
Wat zijn de andere toekomstige vereisten voor PCI DSS compliance?
De andere toekomstige vereisten voor naleving van v4.0 zijn als volgt:
- Prioriteit geven aan versleuteling, het bijwerken van beveiligingssleutels en zorgen voor geldige certificaten die niet verlopen zijn
- Bewaking van verwisselbare media zoals gegevensopslagapparaten en pen drives
- Prioriteit geven aan web- en applicatiebeveiliging
- Wachtwoordbeveiliging als prioriteit stellen
- Periodieke beoordeling van gebruikerstoegang
- Wat is DNS doorsturen en zijn top 5 voordelen - 24 november 2024
- DMARC wordt verplicht voor de betaalkaartenindustrie vanaf 2025 - 22 november 2024
- Leven na p=afwijzen: Waarom uw DMARC-reis nog lang niet ten einde is - 22 november 2024