Do marca 2025 r. wdrożenie DMARC będzie obowiązkowe w PCI Data Security Standards w wersji 4.0. Protokół uwierzytelniania DMARC jest zalecany przez Payment Card Industry Security Standards Council (PCI SSC) jako przyszłościowy wymóg i chroni firmy przed atakami opartymi na wiadomościach e-mail, takimi jak phishing.
Ten artykuł przedstawia przepisy dotyczące zgodności DMARC PCI DSS i dlaczego ważne jest, aby organizacje egzekwowały ochronę danych.
Zrozumienie PCI DSS i PCI SSC
PCI SSC jest skrótem od Payment Card Industry Security Standards Council i jest globalną organizacją, która ustanawia i utrzymuje standardy bezpieczeństwa PCI. Standardy bezpieczeństwa (PCI DSS).
Łączy ona główne sieci kart płatniczych, w tym Mastercard, Discover, American Express i Visa, w celu opracowania i promowania standardów bezpieczeństwa niezbędnych do ochrony transakcji kartami płatniczymi.
Dlaczego zgodność z PCI DSS jest niezbędna dla firm?
PCI Data Security Standards to kompleksowy zestaw standardów bezpieczeństwa, które mają na celu zapewnienie ochrony danych posiadaczy kart podczas transakcji kartami płatniczymi.
- Ochrona danych posiadaczy kart: Głównym celem PCI DSS jest ochrona poufnych informacji posiadaczy kart podczas transakcji kartami płatniczymi, zapobieganie nieautoryzowanemu dostępowi lub kradzieży.
- Ustanowienie bezpiecznych środowisk kart płatniczych: Standard określa wymagania dla sprzedawców dotyczące ustanowienia i utrzymania bezpiecznych środowisk kart płatniczych, w tym bezpiecznej infrastruktury sieciowej, kontroli dostępu i szyfrowania.
- Wdrożenie odpowiednich zabezpieczeń: PCI DSS nakazuje stosowanie określonych środków bezpieczeństwa, takich jak zapory ogniowe, oprogramowanie antywirusowe i praktyki bezpiecznego kodowania w celu ochrony danych posiadaczy kart.
- Utrzymywanie bieżących praktyk bezpieczeństwa: PCI DSS podkreśla znaczenie ciągłego monitorowania i utrzymywania środków bezpieczeństwa, w tym regularnego skanowania podatności, testów penetracyjnych i szkoleń w zakresie świadomości bezpieczeństwa dla pracowników.
- Zapewnienie zgodności w całej branży kart płatniczych: Standardy bezpieczeństwa danych PCI zapewniają ujednolicone ramy zgodności, zapewniając spójne środki bezpieczeństwa w całej branży kart płatniczych i promując zaufanie do ekosystemu płatności.
Branże objęte wymaganiami PCI DSS v4.0
Nowy mandat będzie miał wpływ na następujące branże i sektory:
Opieka zdrowotna
Branża opieki zdrowotnej obsługuje poufne informacje o pacjentach, w tym dane kart płatniczych za usługi medyczne.
Organizacje opieki zdrowotnej przetwarzające płatności kartami kredytowymi lub debetowymi podlegają standardom bezpieczeństwa danych PCI.
DMARC i muszą wdrożyć DMARC w celu zwiększenia bezpieczeństwa poczty elektronicznej i ochrony przed atakami opartymi na poczcie elektronicznej.
Sprzedaż detaliczna
Firmy detaliczne intensywnie przetwarzają płatności kartami, co czyni je głównym celem naruszeń danych.
Przestrzeganie standardów bezpieczeństwa danych PCI ma kluczowe znaczenie dla sprzedawców detalicznych w celu ochrony informacji o płatnościach klientów. Wdrożenie DMARC dodaje dodatkową warstwę bezpieczeństwa, zapewniając bezpieczną komunikację e-mail i ograniczając ryzyko ataków typu domain spoofing.
Gościnność
Branża hotelarska obsługuje znaczną liczbę transakcji kartami kredytowymi i debetowymi, w tym hotele, ośrodki wypoczynkowe i restauracje.
Zgodność ze standardami bezpieczeństwa danych PCI jest niezbędna dla tych placówek w celu ochrony danych płatniczych klientów.
Wdrażając DMARC, firmy hotelarskie mogą chronić reputację swojej marki i zwiększyć bezpieczeństwo poczty elektronicznej przed próbami phishingu i spoofingu.
Kluczowe wymagania PCI DSS v4.0 (obowiązujące od 2025 r.)
PCI DSS v4.0 zastępuje PCI DSS w wersji 3.2.1, aby zwalczać rosnące obawy związane z zagrożeniami cyberbezpieczeństwa zaaranżowanymi przez zaawansowane technologie. PCI DSS v4.0 jest lepiej przygotowany do obsługi najnowszych osiągnięć technologicznych w zakresie cyberzagrożeń i odpowiedniego reagowania na nie.
Poniżej znajduje się podsumowanie zmian:
- Indywidualne podejście do kwestii cyberbezpieczeństwa różnych organizacji
- Ulepszone procedury testowania w celu zapewnienia solidnego bezpieczeństwa
- Większy nacisk na kontrole bezpieczeństwa sieci
- Większy nacisk na silną kryptografię w celu zapewnienia bezpieczeństwa danych posiadaczy kart.
- Usunięcie zbędnych wymagań
- Wymuszanie wdrożenia DMARC
Przeczytaj pełną listę zmian: Podsumowanie zmian PCI DSS
Osiągnięcie zgodności z PCI DSS dzięki PowerDMARC
Osiągnięcie zgodności z PCI DSS może być usprawnione dzięki pakietowi rozwiązań PowerDMARC w zakresie bezpieczeństwa poczty elektronicznej. Oto jak to zrobić:
- Uwierzytelnianie i bezpieczeństwo poczty e-mail: PowerDMARC pomaga w procesie spełniania wymogów PCI DSS w wersji 4 poprzez łatwe wdrożenie protokołów DMARC, SPF i DKIM.
- Kompleksowe raportowanie i monitorowanie: PowerDMARC zapewnia szczegółowe raporty w czasie rzeczywistym i możliwości monitorowania, umożliwiając audyt kanałów poczty elektronicznej i utrzymanie opartego na dowodach podejścia do zgodności z przepisami.
- Uproszczone zarządzanie zgodnością: Dzięki zautomatyzowanym procesom i łatwemu w nawigacji pulpitowi nawigacyjnemu, PowerDMARC pomaga efektywnie zarządzać i dokumentować działania związane ze zgodnością z PCI DSS, oszczędzając czas i zasoby.
Rola DMARC w bezpieczeństwie poczty elektronicznej dla zgodności z PCI DSS
PCI SSC uznaje znaczenie DMARC jako najlepszej praktyki uwierzytelniania poczty elektronicznej i zaleca jego wdrożenie w celu zwiększenia środków bezpieczeństwa.
Zgodnie z wytycznymi PCI DSS DMARC, firmy mogą wzmocnić swoją infrastrukturę poczty elektronicznej i chronić się przed atakami typu domain spoofing. W nadchodzącej wersji PCI DSS 4.0, wdrożenie PCI DSS DMARC będzie obowiązkowe dla firm przetwarzających, przechowujących lub przesyłających dane kart.
Do marca 2025 r. organizacje muszą zapewnić wdrożenie PCI DSS DMARC wraz z uzupełniającymi środkami, takimi jak SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail), aby ustanowić kompleksowe podejście do uwierzytelniania poczty elektronicznej.
Czym są SPF, DKIM i DMARC?
SPF, DKIM i DMARC to protokoły uwierzytelniania poczty elektronicznej, które pomagają chronić domenę i wiadomości e-mail przed spoofingiem, phishingiem i atakami podszywania się. Protokoły te pomagają odróżnić legalne i fałszywe wiadomości e-mail wysyłane z Twojej domeny, zapewniając, że nieautoryzowane źródła nie mogą przeprowadzać ataków phishingowych w Twoim imieniu.
Podobne Czytaj: Czym jest uwierzytelnianie poczty e-mail?
Co robią te protokoły
SPF autoryzuje legalnych nadawców dla Twojej domeny, aby upewnić się, że nieautoryzowane źródła nie mogą wysyłać wiadomości e-mail w imieniu Twojej domeny. DKIM dołącza podpisy cyfrowe do wiadomości wychodzących, aby zapobiec modyfikowaniu wiadomości przez podmioty stanowiące zagrożenie, zanim dotrą one do miejsca docelowego.
DMARC jest spoiwem, które łączy je ze sobą, umożliwiając nadawcom instruowanie serwerów odbiorczych, jak postępować z wiadomościami e-mail, które nie przeszły kontroli uwierzytelniania SPF i/lub DKIM. Dzięki DMARC nadawcy mogą zdecydować się na odrzucenie, poddanie kwarantannie lub dostarczenie wiadomości e-mail, które nie przejdą uwierzytelnienia.
Aby skutecznie chronić się przed atakami typu spoofing tej samej domeny, organizacje muszą ustanowić politykę DMARC co najmniej "p=odrzuć" lub "p=kwarantanna".
Spełnianie wymagań biznesowych i ochrona klientów
Obowiązkowa zgodność dla podmiotów przetwarzających dane kart
Zgodność ze standardami PCI DSS jest niezbędna dla firm, które przetwarzają, przechowują lub przesyłają dane kart.
Wdrożenie DMARC staje się krytyczne dla zapewnienia kompleksowego uwierzytelniania wiadomości e-mail i ochrony przed spoofingiem i atakami phishingowymi.
Luka w egzekwowaniu DMARC i bezpieczeństwie klientów
Istnieje znaczna luka w egzekwowaniu DMARC, a wiele organizacji musi w pełni wdrożyć DMARC lub osiągnąć poziom egzekwowania.
Stanowi to zagrożenie dla klientów, podkreślając znaczenie wypełnienia tej luki w celu wzmocnienia ochrony i bezpieczeństwa klientów.
Znaczenie DMARC dla ochrony marki i zaufania konsumentów
Skuteczne wdrożenie DMARC pomaga chronić marki przed spooferami i złymi aktorami, chroniąc reputację marki i budując zaufanie klientów.
Nadając priorytet egzekwowaniu DMARC, firmy demonstrują swoje zaangażowanie w ochronę informacji o klientach i wspieranie bezpiecznych doświadczeń płatniczych.
Podsumowanie
PCI DSS służy jako kluczowe ramy ochrony transakcji płatniczych, a nadchodząca wersja 4.0 PCI DSS podkreśla obowiązkowe wdrożenie DMARC.
Organizacje z różnych branż muszą proaktywnie stosować DMARC i protokoły uzupełniające, takie jak SPF i DKIM w celu wzmocnienia uwierzytelniania poczty elektronicznej i ochrony przed atakami typu spoofing tej samej domeny.
Wdrażając DMARC na wczesnym etapie, firmy mogą poprawić reputację swojej marki, zbudować zaufanie klientów i zmniejszyć ryzyko ataków opartych na poczcie elektronicznej. Priorytetowe traktowanie bezpieczeństwa płatności i egzekwowanie DMARC stworzy bezpieczniejsze i pewniejsze środowisko płatności cyfrowych.
Najczęściej zadawane pytania dotyczące PCI DSS V4.0
Który wymóg bezpieczeństwa PCI dotyczy fizycznej ochrony danych klientów banków?
W standardzie uwzględniono jeden istotny wymóg bezpieczeństwa PCI związany z fizyczną ochroną danych klientów banków. Wymóg ten koncentruje się na zapewnieniu wdrożenia odpowiednich środków w celu zabezpieczenia fizycznego dostępu do obszarów, w których przechowywane lub przetwarzane są dane klientów. Banki mogą skutecznie chronić informacje o klientach przed nieautoryzowanym dostępem fizycznym, stosując się do tego wymogu.
Dlaczego wymagania v4.0 są określane jako przyszłościowe?
PCI SSC ogłosiło, że nowe wymagania dla wersji 4.0 będą miały charakter przyszłościowy, ponieważ będą oferować organizacjom dodatkowy rok (po 2024 r.) Po wycofaniu starszej wersji DSS, aby spełnić wymagania dotyczące zgodności.
Jakie są inne przyszłe wymagania dotyczące zgodności z PCI DSS?
Pozostałe przyszłe wymagania dotyczące zgodności z wersją v4.0 są następujące:
- Nadawanie priorytetu szyfrowaniu, aktualizowanie kluczy zabezpieczeń i zapewnianie ważnych certyfikatów, które nie wygasły.
- Monitorowanie nośników wymiennych, takich jak urządzenia do przechowywania danych i pendrive'y
- Priorytetyzacja bezpieczeństwa sieci i aplikacji
- Bezpieczeństwo haseł jako priorytet
- Okresowy przegląd dostępu użytkowników
- Wzrost liczby oszustw pod pretekstem w ulepszonych atakach phishingowych - 15 stycznia 2025 r.
- DMARC staje się obowiązkowy dla branży kart płatniczych od 2025 roku - 12 stycznia 2025 r.
- Zmiany w NCSC Mail Check i ich wpływ na bezpieczeństwo poczty elektronicznej w brytyjskim sektorze publicznym - 11 stycznia 2025 r.