Tegen maart 2025 zal de implementatie van DMARC verplicht zijn in PCI Data Security Standards versie 4.0. DMARC, aanbevolen door de PCI SSC als een toekomstige vereiste, beschermt bedrijven tegen op e-mail gebaseerde aanvallen zoals phishing. Na de deadline moeten bedrijven die kaartgegevens verwerken DMARC implementeren voor robuuste e-mailverificatie.
A DMARC-beleid p=reject of p=quarantine is cruciaal om spoofing aanvallen te voorkomen. Dit artikel neemt je mee door de DMARC PCI DSS compliance voorschriften en waarom het belangrijk is voor organisaties om gegevensbescherming af te dwingen.
Wat is de PCI SSC en PCI DSS standaard?
PCI SSC is een acroniem voor Payment Card Industry Security Standards Council en is een wereldwijde organisatie die de PCI Data Security Standards (PCI DSS) opstelt en onderhoudt.
Het verenigt de belangrijkste kaartnetwerken, waaronder Mastercard, Discover, American Express en Visa, om de veiligheidsstandaarden te ontwikkelen en te promoten die nodig zijn om betaalkaarttransacties te beschermen.
Wat zijn de doelstellingen van PCI DSS?
De PCI Data Security Standards is een uitgebreide reeks beveiligingsstandaarden die de bescherming van de gegevens van kaarthouders tijdens betaalkaarttransacties moeten garanderen.
- Gegevens van kaarthouders beschermen: Het belangrijkste doel van de PCI DSS is om de gevoelige informatie van kaarthouders tijdens betaalkaarttransacties te beschermen en onbevoegde toegang of diefstal te voorkomen.
- Het opzetten van veilige betaalkaartomgevingen: De standaard schetst vereisten voor handelaren voor het opzetten en onderhouden van veilige betaalkaartomgevingen, inclusief veilige netwerkinfrastructuur, toegangscontroles en encryptie.
- De juiste beveiligingen implementeren: PCI DSS vereist specifieke beveiligingsmaatregelen zoals firewalls, antivirussoftware en veilige coderingspraktijken om gegevens van kaarthouders te beschermen.
- Het onderhouden van voortdurende beveiligingspraktijken: De PCI DSS benadrukt het belang van het voortdurend controleren en onderhouden van beveiligingsmaatregelen, waaronder regelmatige kwetsbaarheidsscans, penetratietests en beveiligingsbewustzijnstrainingen voor werknemers.
- Garanderen van compliance in de hele betaalkaartenindustrie: De PCI Data Security Standards bieden een uniform kader voor compliance, waardoor consistente beveiligingsmaatregelen in de hele betaalkaartenindustrie worden gegarandeerd en het vertrouwen in het betaalecosysteem wordt bevorderd.
Komende vereisten van PCI DSS v4.0 - Wat is nieuw?
PCI DSS v4.0 vervangt PCI DSS versie 3.2.1 om het hoofd te bieden aan de toenemende bezorgdheid over cyberbedreigingen die worden georkestreerd door geavanceerde technologieën. PCI DSS v4.0 is beter uitgerust om met de nieuwste technologische ontwikkelingen in cyberbedreigingen om te gaan en deze adequaat aan te pakken.
Hier volgt een samenvatting van de wijzigingen:
- Een aanpak op maat voor de cyberbeveiligingsproblemen van verschillende organisaties
- Verbeterde testprocedures om robuuste beveiliging te garanderen
- Meer aandacht voor netwerkbeveiligingscontroles
- Meer aandacht voor sterke cryptografie om de veiligheid van de gegevens van de kaarthouder te garanderen
- Overbodige vereisten verwijderen
- DMARC-implementatie afdwingen
Lees de volledige lijst met wijzigingen: PCI DSS samenvatting van wijzigingen
Wanneer wordt PCI DSS v4.0 van kracht?
De PCI DSS v4.0 zal vanaf maart 2025 volledig in werking treden, aangezien de oude versie afloopt in maart 2024. Van organisaties wordt verwacht dat ze migreren naar nieuwe beleidsregels en vereisten om compliant te blijven met de nieuwste veranderingen.
DMARC PCI DSS beste praktijken en aanbevelingen
De PCI SSC erkent het belang van DMARC als een best practice voor e-mailverificatie en beveelt de implementatie ervan aan om de beveiligingsmaatregelen te verbeteren.
Volgens de PCI DSS DMARC richtlijnen kunnen bedrijven hun e-mailinfrastructuur versterken en beschermen tegen aanvallen van domain spoofing.
DMARC implementatie als PCI DSS vereiste
In de komende PCI DSS versie 4.0 zal PCI DSS DMARC implementatie verplicht zijn voor bedrijven die kaartgegevens verwerken, opslaan of verzenden.
In maart 2025 moeten organisaties ervoor zorgen dat PCI DSS DMARC is geïmplementeerd naast aanvullende maatregelen zoals SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail) om een allesomvattende aanpak voor e-mailverificatie te realiseren.
Aanvullende maatregelen met betrekking tot de laatste update
SPF en DKIM zijn aanvullende protocollen die DMARC aanvullen bij e-mailverificatie.
Met SPF kunnen domeineigenaren geautoriseerde afzenders voor hun domein definiëren, terwijl DKIM de integriteit van e-mailberichten verifieert met behulp van digitale handtekeningen.
Samen verbeteren deze protocollen de beveiliging van e-mail en beschermen ze tegen aanvallen via e-mail.
Zorgen voor uitgebreide e-mailverificatie met DMARC
Om organisaties effectief te beschermen tegen spoofingaanvallen met hetzelfde domein, moeten ze een DMARC-beleid p=afwijzen" of "p=quarantine" instellen.
Dit zorgt ervoor dat verdachte e-mails die de DMARC-controles niet doorstaan, worden geweigerd of worden gemarkeerd voor nader onderzoek, waardoor het risico op aanvallen via e-mail afneemt.
Gerelateerd lezen: Wat is e-mailverificatie?
Bedrijfstakken beïnvloed door PCI DSS DMARC
Gezondheidszorg
In de gezondheidszorg wordt gevoelige patiëntinformatie verwerkt, waaronder betaalkaartgegevens voor medische diensten.
Organisaties in de gezondheidszorg die credit- of debetkaartbetalingen verwerken, zijn onderhevig aan de PCI Data Security Standards.
DMARC-vereisten en moeten DMARC implementeren om de beveiliging van e-mail te verbeteren en te beschermen tegen aanvallen via e-mail.
Detailhandel
Detailhandelsbedrijven verwerken op grote schaal kaartbetalingen, waardoor ze een doelwit bij uitstek zijn voor datalekken.
Het naleven van de PCI Data Security Standards is cruciaal voor retailers om de betalingsgegevens van klanten te beschermen. Het implementeren van DMARC voegt een extra beveiligingslaag toe, zorgt voor veilige e-mailcommunicatie en vermindert het risico op aanvallen met domain spoofing.
Gastvrijheid
De horeca verwerkt een aanzienlijk volume aan creditcard- en betaalkaarttransacties, waaronder hotels, resorts en restaurants.
Naleving van de PCI Data Security Standards is essentieel voor deze instellingen om de betalingsgegevens van klanten te beschermen.
Door DMARC te implementeren kunnen horecabedrijven hun merkreputatie beschermen en e-mail beter beveiligen tegen phishing en spoofing.
Bedrijfsvereisten en klantbescherming aanpakken
Verplichte naleving voor kaartgegevensverwerkers
Voldoen aan de PCI DSS-normen is noodzakelijk voor bedrijven die kaartgegevens verwerken, opslaan of verzenden.
Het implementeren van DMARC wordt cruciaal om uitgebreide e-mailverificatie te garanderen en bescherming te bieden tegen e-mailspoofing en phishingaanvallen.
De kloof in DMARC-handhaving en klantveiligheid
Er is een aanzienlijke kloof in DMARC-handhaving, waarbij veel organisaties DMARC volledig moeten implementeren of handhavingsniveaus moeten bereiken.
Dit vormt een risico voor klanten en benadrukt het belang van het dichten van deze kloof om de bescherming en veiligheid van klanten te versterken.
Het belang van DMARC voor merkbescherming en consumentenvertrouwen
Een effectieve DMARC-implementatie helpt merken te beschermen tegen spoofers en bad actors, waardoor de merkreputatie behouden blijft en het vertrouwen van de klant wordt opgebouwd.
Door DMARC-handhaving prioriteit te geven, laten bedrijven zien dat ze klantgegevens willen beschermen en veilige betalingservaringen willen bevorderen.
Conclusie
De PCI DSS dient als een cruciaal raamwerk voor de bescherming van betalingstransacties en de aankomende PCI DSS versie 4.0 benadrukt de verplichte implementatie van DMARC.
Organisaties in verschillende branches moeten DMARC en aanvullende protocollen zoals SPF en DKIM proactief omarmen om hun e-mailverificatie te versterken en te beschermen tegen aanvallen van spoofing van hetzelfde domein.
Door DMARC in een vroeg stadium te implementeren, kunnen bedrijven hun merkreputatie verbeteren, vertrouwen bij klanten opbouwen en het risico op aanvallen via e-mail beperken. Door prioriteit te geven aan betalingsbeveiliging en DMARC-handhaving wordt een veiligere en betrouwbaardere digitale betaalomgeving gecreëerd.
PCI DSS V4.0 veelgestelde vragen
Welke PCI-beveiligingsvereiste heeft betrekking op de fysieke bescherming van klantgegevens van banken?
Eén belangrijke PCI beveiligingseis met betrekking tot de fysieke bescherming van klantgegevens van banken wordt in de standaard behandeld. Deze vereiste is gericht op het nemen van passende maatregelen om de fysieke toegang te beveiligen tot gebieden waar klantgegevens worden opgeslagen of verwerkt. Banken kunnen klantgegevens effectief beschermen tegen ongeoorloofde fysieke toegang door zich aan deze vereiste te houden.
Waarom worden de vereisten voor v4.0 als toekomstig aangeduid?
De PCI SSC heeft aangekondigd dat de nieuwe vereisten voor v4.0 toekomstgericht zijn, omdat ze organisaties een extra jaar (na 2024) geven na de pensionering van de oudere DSS-versie om aan de compliancevereisten te voldoen.
Wat zijn de andere toekomstige vereisten voor PCI DSS compliance?
De andere toekomstige vereisten voor naleving van v4.0 zijn als volgt:
- Prioriteit geven aan versleuteling, het bijwerken van beveiligingssleutels en zorgen voor geldige certificaten die niet verlopen zijn
- Bewaking van verwisselbare media zoals gegevensopslagapparaten en pen drives
- Prioriteit geven aan web- en applicatiebeveiliging
- Wachtwoordbeveiliging als prioriteit stellen
- Periodieke beoordeling van gebruikerstoegang
