DMARC dla PCI DSS: Wersja 4.0 Wymagania i zalecenia

WDROŻENIE DMARC Wdrożenie DMARC jest zalecane jako "dobra praktyka" w ramach PCI DSS w wersji 4.0uzupełniając inne środki bezpieczeństwa w ramach kompleksowego podejścia do ochrony poczty elektronicznej i zapobiegania oszustwom. Ta inicjatywa Payment Card Industry ma na celu wzmocnienie bezpieczeństwa płatności dla wszystkich podmiotów obsługujących, przechowujących lub przetwarzających dane posiadaczy kart. DMARC odgrywa kluczową rolę w pomaganiu firmom w zapobieganiu atakom opartym na poczcie elektronicznej, takim jak phishing i spoofing, chroniąc poufne informacje wymieniane za pośrednictwem poczty elektronicznej.

Podczas gdy DMARC, w połączeniu z innymi środkami ostrożności, jest opisany jako przykład dobrych praktyk w ramach obecnej wersji PCI DSS, nie jest on obowiązkowy ani w żaden inny sposób wymagany przez PCI DSS. Jednak przyjęcie DMARC jako części strategii bezpieczeństwa poczty elektronicznej może znacznie zwiększyć ochronę domeny, zapobiegać atakom phishingowym i zapewnić lepszą dostarczalność poczty elektronicznej - kluczowe aspekty solidnych ram cyberbezpieczeństwa, które mogą uzupełniać wysiłki na rzecz zgodności z PCI DSS.

Kluczowe wymagania dotyczące zgodności z PCI DSS 4.0 (od 2025 r.)

PCI DSS v4.0 zastępuje PCI DSS w wersji 3.2.1, aby zwalczać rosnące obawy związane z zagrożeniami cyberbezpieczeństwa zaaranżowanymi przez zaawansowane technologie. PCI DSS v4.0 jest lepiej przygotowany do obsługi najnowszych osiągnięć technologicznych w zakresie cyberzagrożeń i odpowiedniego reagowania na nie. 

Kluczowe zmiany obejmują:

1. Wzmocnione bezpieczeństwo poczty e-mail: PCI DSS v4.0 zachęca organizacje obsługujące płatności kartą do wdrożenia DMARC w celu zwiększenia bezpieczeństwa poczty elektronicznej i zmniejszenia ryzyka fałszowania wiadomości e-mail i naruszenia danych.
2. Rozszerzona kontrola dostępu: Uwierzytelnianie wieloskładnikowe (MFA) jest wymagane dla całego dostępu, wraz z silniejszymi zasadami haseł (minimalna długość zwiększona z 7 do 12 znaków) i zaktualizowanymi zasadami blokowania konta (po 10 nieudanych próbach logowania zamiast 6).
3. Coroczne przeglądy technologiczne: Sprzęt i oprogramowanie muszą być poddawane przeglądowi co najmniej raz w roku, aby wyprzedzać luki w zabezpieczeniach.
4. Proaktywne zarządzanie ryzykiem: Organizacje muszą szybko reagować na awarie kontroli bezpieczeństwa i przyjmować dostosowane podejścia do unikalnych wyzwań związanych z cyberbezpieczeństwem.
5. Większe bezpieczeństwo danych i sieci: Skoncentruj się na solidnym szyfrowaniu, ściślejszych uprawnieniach dostępu i ulepszonych środkach bezpieczeństwa sieci w celu ochrony danych posiadaczy kart.
6. Usprawniona zgodność: Uproszczenie poprzez usunięcie przestarzałych wymagań i ulepszone procedury testowe w celu zapewnienia kompleksowego bezpieczeństwa.

Przeczytaj pełną listę zmian: Podsumowanie zmian PCI DSS

Kogo to dotyczy?

Zalecenie PCI DSS dotyczące DMARC przyniesie korzyści każdemu podmiotowi przechowującemu, przetwarzającemu lub przesyłającemu dane posiadacza karty/informacje o karcie płatniczej/wrażliwe dane uwierzytelniające. Obejmuje to organizacje, osoby fizyczne, komponenty systemu i dostawców usług.

Dotknięte podmioty obejmują:

• Każda organizacja, duża lub mała, która obsługuje lub przetwarza płatności kartą. 
• Każda firma lub usługodawca, który przetwarza, pozyskuje, wydaje lub akceptuje dane posiadaczy kart.
• Komponenty systemu, osoby i procesy, które przechowują, przetwarzają lub przesyłają dane posiadaczy kart (CHD) i/lub wrażliwe dane uwierzytelniające (SAD).
• Komponenty systemu z nieograniczoną łącznością z tymi, które obsługują CHD/SAD, nawet jeśli same nie przechowują, nie przetwarzają ani nie przesyłają tych danych.

Dotknięte branże obejmują:

• Firmy zajmujące się handlem elektronicznym 
• Instytucje finansowe 
• Detaliści 
• Opieka zdrowotna 
• Gościnność 
• Zewnętrzni dostawcy usług i sprzedawcy 
• Każda firma, przedsiębiorstwo lub spółka przetwarzająca płatności kartą

Wdrożenie DMARC w celu zapewnienia zgodności z PCI DSS za pomocą PowerDMARC

DMARC, choć nie jest jedynym wymogiem, uzupełnia wysiłki na rzecz zgodności z PCI DSS. Wdrożenie DMARC może być usprawnione dzięki pakietowi hostowanych rozwiązań uwierzytelniania poczty elektronicznej PowerDMARC. Oto jak to zrobić:

1. Hostowane usługiDMARC: Hostowane usługi PowerDMARC pomagają spełnić wymagania PCI DSS w wersji 4 poprzez łatwe i zautomatyzowane wdrożenie DMARC, SPF i DKIM.
2. Kompleksowe raportowanie i monitorowanie DMARC: PowerDMARC zapewnia szczegółowe, uproszczone raporty DMARC i raporty kryminalistyczne. Umożliwia to audyt kanałów poczty elektronicznej i utrzymanie opartego na dowodach podejścia do zgodności z przepisami.
3. Uproszczone zarządzanie zgodnością: Dzięki zautomatyzowanym procesom i łatwemu w nawigacji pulpitowi nawigacyjnemu, PowerDMARC pomaga efektywnie zarządzać i dokumentować działania związane ze zgodnością z PCI DSS, oszczędzając czas i zasoby.

Konsekwencje niewdrożenia DMARC

Chociaż PCI DSS nie nakłada bezpośrednich kar za niewdrożenie DMARC, organizacje mogą być narażone na znaczne ryzyko cyberbezpieczeństwa.

Niewdrożenie DMARC może skutkować: 

1. Zwiększone ryzyko cyberataków: Brak wdrożenia DMARC pozostawia nazwę domeny podatną na spoofing, phishing i podszywanie się.
2. Słaba dostarczalność wiadomości e-mail: Bez uwierzytelniania dostarczalność wiadomości e-mail może ucierpieć, co prowadzi do zwiększenia współczynnika odrzuceń wiadomości e-mail.
3. Uszkodzona reputacja: Zwiększone ryzyko ataków phishingowych może zaszkodzić reputacji marki i zmniejszyć zaufanie klientów.

Uprość bezpieczeństwo z PowerDMARC!

Zrozumienie PCI DSS i PCI SSC 

PCI SSC jest skrótem od Payment Card Industry Security Standards Council i jest globalną organizacją, która ustanawia i utrzymuje standardy bezpieczeństwa PCI. Standardy bezpieczeństwa (PCI DSS).

Łączy ona główne sieci kart płatniczych, w tym Mastercard, Discover, American Express i Visa, w celu opracowania i promowania standardów bezpieczeństwa niezbędnych do ochrony transakcji kartami płatniczymi.

Dlaczego zgodność z PCI DSS jest niezbędna dla firm?

Standardy bezpieczeństwa danych PCI to kompleksowy zestaw norm bezpieczeństwa, które mają na celu zapewnienie ochrony danych posiadaczy kart podczas transakcji kartami płatniczymi.

• Ochrona danych posiadaczy kart: Głównym celem PCI DSS jest ochrona poufnych informacji posiadaczy kart podczas transakcji kartami płatniczymi, zapobieganie nieautoryzowanemu dostępowi lub kradzieży.
• Ustanowienie bezpiecznych środowisk kart płatniczych: Standard określa wymagania dla sprzedawców dotyczące ustanowienia i utrzymania bezpiecznych środowisk kart płatniczych, w tym bezpiecznej infrastruktury sieciowej, kontroli dostępu i szyfrowania.
• Wdrożenie odpowiednich zabezpieczeń: PCI DSS nakazuje stosowanie określonych środków bezpieczeństwa, takich jak zapory ogniowe, oprogramowanie antywirusowe i praktyki bezpiecznego kodowania w celu ochrony danych posiadaczy kart.
• Utrzymywanie bieżących praktyk bezpieczeństwa: PCI DSS podkreśla znaczenie ciągłego monitorowania i utrzymywania środków bezpieczeństwa, w tym regularnego skanowania podatności, testów penetracyjnych i szkoleń w zakresie świadomości bezpieczeństwa dla pracowników.
• Zapewnienie zgodności w całej branży kart płatniczych: Standardy bezpieczeństwa danych PCI zapewniają ujednolicone ramy zgodności, zapewniając spójne środki bezpieczeństwa w całej branży kart płatniczych i promując zaufanie do ekosystemu płatności.

DMARC dla PCI DSS: Dlaczego ma to znaczenie? 

DMARC, SPF i DKIM to protokoły uwierzytelniania poczty elektronicznej, które pomagają chronić domenę i wiadomości e-mail przed atakami typu spoofing, phishing i podszywanie się. Protokoły te pomagają odróżnić legalne i fałszywe wiadomości e-mail wysyłane z domeny, zapewniając, że nieautoryzowane źródła nie mogą podrobić nazwy domeny. Aby skutecznie chronić się przed atakami typu spoofing tej samej domeny, organizacje muszą ustanowić politykę DMARC co najmniej "p=odrzuć" lub "p=kwarantanna".

PCI SSC uwzględnia wdrożenie DMARC jako część swoich działań antyspamowych i antyphishingowych. DMARC oferuje kilka korzyści dla wdrażających go organizacji, w tym: 

• Poprawiona dostarczalność wiadomości e-mail 
• Zminimalizowane oszustwa e-mailowe i podszywanie się pod nazwy domen 
• Mniej skarg na spam i odrzuceń wiadomości e-mail 
• Zwiększona reputacja marki, wiarygodność i zaufanie 
• Zgodność z globalnymi i lokalnymi przepisami rządowymi  

Jak zachować zgodność z wymaganiami i zaleceniami PCI DSS 

Aby zachować zgodność z zaleceniami PCI DSS, firmy mogą: 

1. Wdrożenie DMARC, SPF i DKIM wraz z powiązanymi technologiami antyphishingowymi. 
2. Przejdź na wymuszoną politykę DMARC (np. p=reject), aby zacząć zapobiegać cyberatakom opartym na wiadomościach e-mail. 
3. Wdróż rozwiązania chroniące przed złośliwym oprogramowaniem i adresami URL, aby powstrzymać kampanie spamowe przed dotarciem do pracowników. 
4. Przynajmniej raz w miesiącu cały zespół powinien przejść szkolenie z zakresu świadomości bezpieczeństwa, aby być na bieżąco z najnowszymi technikami phishingu.

Podsumowanie

PCI DSS służy jako kluczowe ramy ochrony transakcji płatniczych. Nadchodząca wersja 4.0 PCI DSS podkreśla znaczenie bezpieczeństwa poczty elektronicznej w ochronie wrażliwych danych kart płatniczych. Organizacjom z różnych branż zaleca się proaktywne stosowanie DMARC, protokołów uzupełniających, takich jak SPF i DKIM, lub podobnych mechanizmów kontroli antyphishingowej w celu wzmocnienia obrony przed naruszeniami danych. 

Dzięki wczesnemu wdrożeniu DMARC, firmy mogą również poprawić reputację swojej marki, zbudować zaufanie klientów i poprawić dostarczalność poczty elektronicznej. Priorytetowe traktowanie bezpieczeństwa płatności i egzekwowanie DMARC będzie promować bezpieczniejsze środowisko płatności cyfrowych na całym świecie.

Zarejestruj się już dziś, aby zwiększyć bezpieczeństwo poczty e-mail dzięki PowerDMARC i wzmocnić zgodność z najlepszymi praktykami PCI DSS!

Najczęściej zadawane pytania dotyczące PCI DSS V4.0

Który wymóg bezpieczeństwa PCI dotyczy fizycznej ochrony danych klientów banków?

W standardzie uwzględniono jeden istotny wymóg bezpieczeństwa PCI związany z fizyczną ochroną danych klientów banków. Wymóg ten koncentruje się na zapewnieniu wdrożenia odpowiednich środków w celu zabezpieczenia fizycznego dostępu do obszarów, w których przechowywane lub przetwarzane są dane klientów. Banki mogą skutecznie chronić informacje o klientach przed nieautoryzowanym dostępem fizycznym, stosując się do tego wymogu.

Dlaczego wymagania v4.0 są określane jako przyszłościowe?

PCI SSC ogłosiło, że nowe wymagania dla wersji 4.0 będą miały charakter przyszłościowy, ponieważ będą oferować organizacjom dodatkowy rok (po 2024 r.) Po wycofaniu starszej wersji DSS, aby spełnić wymagania dotyczące zgodności.

Jakie są inne przyszłe wymagania dotyczące zgodności z PCI DSS?

Pozostałe przyszłe wymagania dotyczące zgodności z wersją v4.0 są następujące:

• Nadawanie priorytetu szyfrowaniu, aktualizowanie kluczy zabezpieczeń i zapewnianie ważnych certyfikatów, które nie wygasły.
• Monitorowanie nośników wymiennych, takich jak urządzenia do przechowywania danych i pendrive'y
• Priorytetyzacja bezpieczeństwa sieci i aplikacji
• Bezpieczeństwo haseł jako priorytet
• Okresowy przegląd dostępu użytkowników

• O
• Latest Posts

Ahona Rudra

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

• Microsoft wzmacnia zasady dotyczące nadawców wiadomości e-mail: Kluczowe aktualizacje, których nie można przegapić - 3 kwietnia 2025 r.
• Konfiguracja DKIM: Przewodnik krok po kroku dotyczący konfiguracji DKIM dla bezpieczeństwa poczty e-mail (2025) - 31 marca 2025 r.
• PowerDMARC uznany za lidera sieci dla DMARC w G2 Spring Reports 2025 - 26 marca 2025 r.