Do marca 2025 r. wdrożenie DMARC będzie obowiązkowe w PCI Data Security Standards w wersji 4.0. DMARC, zalecany przez PCI SSC jako przyszłościowy wymóg, chroni firmy przed atakami opartymi na wiadomościach e-mail, takimi jak phishing. Po upływie tego terminu firmy przetwarzające dane kart muszą wdrożyć DMARC w celu niezawodnego uwierzytelniania wiadomości e-mail.
A Polityka DMARC p=reject lub p=quarantine ma kluczowe znaczenie dla ochrony przed atakami typu spoofing. Ten artykuł przedstawia przepisy dotyczące zgodności DMARC z PCI DSS i dlaczego ważne jest, aby organizacje egzekwowały ochronę danych.
Czym są standardy PCI SSC i PCI DSS?
PCI SSC jest skrótem od Payment Card Industry Security Standards Council i jest globalną organizacją, która ustanawia i utrzymuje standardy bezpieczeństwa danych PCI (PCI DSS).
Łączy ona główne sieci kart płatniczych, w tym Mastercard, Discover, American Express i Visa, w celu opracowania i promowania standardów bezpieczeństwa niezbędnych do ochrony transakcji kartami płatniczymi.
Jakie są cele PCI DSS?
PCI Data Security Standards to kompleksowy zestaw standardów bezpieczeństwa, które mają na celu zapewnienie ochrony danych posiadaczy kart podczas transakcji kartami płatniczymi.
- Ochrona danych posiadaczy kart: Głównym celem PCI DSS jest ochrona poufnych informacji posiadaczy kart podczas transakcji kartami płatniczymi, zapobieganie nieautoryzowanemu dostępowi lub kradzieży.
- Ustanowienie bezpiecznych środowisk kart płatniczych: Standard określa wymagania dla sprzedawców dotyczące ustanowienia i utrzymania bezpiecznych środowisk kart płatniczych, w tym bezpiecznej infrastruktury sieciowej, kontroli dostępu i szyfrowania.
- Wdrożenie odpowiednich zabezpieczeń: PCI DSS nakazuje stosowanie określonych środków bezpieczeństwa, takich jak zapory ogniowe, oprogramowanie antywirusowe i praktyki bezpiecznego kodowania w celu ochrony danych posiadaczy kart.
- Utrzymywanie bieżących praktyk bezpieczeństwa: PCI DSS podkreśla znaczenie ciągłego monitorowania i utrzymywania środków bezpieczeństwa, w tym regularnego skanowania luk w zabezpieczeniach, testów penetracyjnych i szkoleń w zakresie świadomości bezpieczeństwa dla pracowników.
- Zapewnienie zgodności w całej branży kart płatniczych: Standardy bezpieczeństwa danych PCI zapewniają ujednolicone ramy zgodności, zapewniając spójne środki bezpieczeństwa w całej branży kart płatniczych i promując zaufanie do ekosystemu płatności.
Nadchodzące wymagania PCI DSS v4.0 - co nowego?
PCI DSS v4.0 zastępuje PCI DSS w wersji 3.2.1, aby zwalczać rosnące obawy związane z zagrożeniami cyberbezpieczeństwa zaaranżowanymi przez zaawansowane technologie. PCI DSS v4.0 jest lepiej przygotowany do obsługi najnowszych osiągnięć technologicznych w zakresie cyberzagrożeń i odpowiedniego reagowania na nie.
Poniżej znajduje się podsumowanie zmian:
- Indywidualne podejście do kwestii cyberbezpieczeństwa różnych organizacji
- Ulepszone procedury testowania w celu zapewnienia solidnego bezpieczeństwa
- Większy nacisk na kontrole bezpieczeństwa sieci
- Większy nacisk na silną kryptografię w celu zapewnienia bezpieczeństwa danych posiadaczy kart.
- Usunięcie zbędnych wymagań
- Wymuszanie wdrożenia DMARC
Przeczytaj pełną listę zmian: Podsumowanie zmian PCI DSS
Kiedy PCI DSS v4.0 wejdzie w życie?
PCI DSS v4.0 zacznie w pełni obowiązywać od marca 2025 roku, ponieważ stara wersja wygasa w marcu 2024 roku. Oczekuje się, że organizacje przejdą na nowe zasady i wymagania, aby zachować zgodność z najnowszymi zmianami.
Najlepsze praktyki i zalecenia DMARC PCI DSS
PCI SSC uznaje znaczenie DMARC jako najlepszej praktyki uwierzytelniania poczty elektronicznej i zaleca jego wdrożenie w celu zwiększenia środków bezpieczeństwa.
Zgodnie z wytycznymi PCI DSS DMARC, firmy mogą wzmocnić swoją infrastrukturę poczty elektronicznej i chronić się przed atakami typu domain spoofing.
Wdrożenie DMARC jako wymóg PCI DSS
W nadchodzącej wersji PCI DSS 4.0, wdrożenie PCI DSS DMARC będzie obowiązkowe dla firm przetwarzających, przechowujących lub przesyłających dane kart.
Do marca 2025 r. organizacje muszą zapewnić wdrożenie PCI DSS DMARC wraz z uzupełniającymi środkami, takimi jak SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail), aby ustanowić kompleksowe podejście do uwierzytelniania poczty elektronicznej.
Środki uzupełniające w odniesieniu do najnowszej aktualizacji
SPF i DKIM są dodatkowymi protokołami, które uzupełniają DMARC w uwierzytelnianiu wiadomości e-mail.
SPF pozwala właścicielom domen zdefiniować autoryzowanych nadawców dla ich domeny, podczas gdy DKIM weryfikuje integralność wiadomości e-mail za pomocą podpisów cyfrowych.
Łącznie protokoły te zwiększają bezpieczeństwo poczty e-mail i chronią przed atakami opartymi na wiadomościach e-mail.
Zapewnienie kompleksowego uwierzytelniania poczty e-mail za pomocą DMARC
Aby skutecznie chronić się przed atakami typu spoofing tej samej domeny, organizacje muszą ustanowić politykę DMARC co najmniej "p=odrzuć" lub "p=kwarantanna".
Gwarantuje to, że podejrzane wiadomości e-mail, które nie przejdą kontroli DMARC, zostaną odrzucone lub oznaczone do dalszej analizy, zmniejszając ryzyko ataków opartych na wiadomościach e-mail.
Podobne Czytaj: Czym jest uwierzytelnianie poczty e-mail?
Branże dotknięte przez PCI DSS DMARC
Opieka zdrowotna
Branża opieki zdrowotnej obsługuje poufne informacje o pacjentach, w tym dane kart płatniczych za usługi medyczne.
Organizacje opieki zdrowotnej przetwarzające płatności kartami kredytowymi lub debetowymi podlegają standardom bezpieczeństwa danych PCI.
DMARC i muszą wdrożyć DMARC w celu zwiększenia bezpieczeństwa poczty elektronicznej i ochrony przed atakami opartymi na poczcie elektronicznej.
Sprzedaż detaliczna
Firmy detaliczne intensywnie przetwarzają płatności kartami, co czyni je głównym celem naruszeń danych.
Przestrzeganie standardów bezpieczeństwa danych PCI ma kluczowe znaczenie dla sprzedawców detalicznych w celu ochrony informacji o płatnościach klientów. Wdrożenie DMARC dodaje dodatkową warstwę bezpieczeństwa, zapewniając bezpieczną komunikację e-mail i ograniczając ryzyko ataków typu domain spoofing.
Gościnność
Branża hotelarska obsługuje znaczną liczbę transakcji kartami kredytowymi i debetowymi, w tym hotele, ośrodki wypoczynkowe i restauracje.
Zgodność ze standardami bezpieczeństwa danych PCI jest niezbędna dla tych placówek w celu ochrony danych płatniczych klientów.
Wdrażając DMARC, firmy hotelarskie mogą chronić reputację swojej marki i zwiększyć bezpieczeństwo poczty elektronicznej przed próbami phishingu i spoofingu.
Spełnianie wymagań biznesowych i ochrona klientów
Obowiązkowa zgodność dla podmiotów przetwarzających dane kart
Zgodność ze standardami PCI DSS jest niezbędna dla firm, które przetwarzają, przechowują lub przesyłają dane kart.
Wdrożenie DMARC staje się krytyczne dla zapewnienia kompleksowego uwierzytelniania wiadomości e-mail i ochrony przed spoofingiem i atakami phishingowymi.
Luka w egzekwowaniu DMARC i bezpieczeństwie klientów
Istnieje znaczna luka w egzekwowaniu DMARC, a wiele organizacji musi w pełni wdrożyć DMARC lub osiągnąć poziom egzekwowania.
Stanowi to zagrożenie dla klientów, podkreślając znaczenie wypełnienia tej luki w celu wzmocnienia ochrony i bezpieczeństwa klientów.
Znaczenie DMARC dla ochrony marki i zaufania konsumentów
Skuteczne wdrożenie DMARC pomaga chronić marki przed spooferami i złymi aktorami, chroniąc reputację marki i budując zaufanie klientów.
Nadając priorytet egzekwowaniu DMARC, firmy demonstrują swoje zaangażowanie w ochronę informacji o klientach i wspieranie bezpiecznych doświadczeń płatniczych.
Wniosek
PCI DSS służy jako kluczowe ramy ochrony transakcji płatniczych, a nadchodząca wersja 4.0 PCI DSS podkreśla obowiązkowe wdrożenie DMARC.
Organizacje z różnych branż muszą aktywnie stosować DMARC i protokoły uzupełniające, takie jak SPF i DKIM, aby wzmocnić uwierzytelnianie poczty elektronicznej i chronić się przed atakami typu spoofing tej samej domeny.
Wdrażając DMARC na wczesnym etapie, firmy mogą poprawić reputację swojej marki, zbudować zaufanie klientów i zmniejszyć ryzyko ataków opartych na poczcie elektronicznej. Priorytetowe traktowanie bezpieczeństwa płatności i egzekwowanie DMARC stworzy bezpieczniejsze i pewniejsze środowisko płatności cyfrowych.
Najczęściej zadawane pytania dotyczące PCI DSS V4.0
Który wymóg bezpieczeństwa PCI dotyczy fizycznej ochrony danych klientów banków?
W standardzie uwzględniono jeden istotny wymóg bezpieczeństwa PCI związany z fizyczną ochroną danych klientów banków. Wymóg ten koncentruje się na zapewnieniu wdrożenia odpowiednich środków w celu zabezpieczenia fizycznego dostępu do obszarów, w których przechowywane lub przetwarzane są dane klientów. Banki mogą skutecznie chronić informacje o klientach przed nieautoryzowanym dostępem fizycznym, przestrzegając tego wymogu.
Dlaczego wymagania v4.0 są określane jako przyszłościowe?
PCI SSC ogłosiło, że nowe wymagania dla wersji 4.0 będą miały charakter przyszłościowy, ponieważ będą oferować organizacjom dodatkowy rok (po 2024 r.) Po wycofaniu starszej wersji DSS, aby spełnić wymagania dotyczące zgodności.
Jakie są inne przyszłe wymagania dotyczące zgodności z PCI DSS?
Pozostałe przyszłe wymagania dotyczące zgodności z wersją v4.0 są następujące:
- Nadawanie priorytetu szyfrowaniu, aktualizowanie kluczy zabezpieczeń i zapewnianie ważnych certyfikatów, które nie wygasły.
- Monitorowanie nośników wymiennych, takich jak urządzenia do przechowywania danych i pendrive'y
- Priorytetyzacja bezpieczeństwa sieci i aplikacji
- Bezpieczeństwo haseł jako priorytet
- Okresowy przegląd dostępu użytkowników
