DMARC para conformidade com o PCI DSS 4.0 - obrigatório a partir de 2025

Até 31 de março de 2025, a implementação do DMARC será obrigatória para PCI DSS versão 4.0 do PCI DSS. Este requisito aplica-se a todas as organizações que lidam ou processam pagamentos com cartão ou armazenam dados do titular do cartão. A iniciativa tem como objetivo reforçar a segurança dos pagamentos, uma vez que o DMARC protege as empresas contra ataques baseados em correio eletrónico, como phishing e spoofing.

Este artigo apresenta os regulamentos de conformidade DMARC PCI DSS e o motivo pelo qual as organizações precisam de aplicar a proteção de dados. 

Principais requisitos para a conformidade com o PCI DSS 4.0 (a partir de 2025)

O PCI DSS v4.0 substitui o PCI DSS versão 3.2.1 para combater a crescente preocupação com as ameaças à cibersegurança orquestradas por tecnologias sofisticadas. O PCI DSS v4.0 está mais bem equipado para lidar com os mais recentes desenvolvimentos tecnológicos em ameaças cibernéticas e abordá-los adequadamente. 

As principais alterações incluem:

1. Segurança de correio eletrónico reforçada: A implementação do DMARC é obrigatória para todas as entidades que lidam com pagamentos com cartão para evitar a falsificação de correio eletrónico e violações de dados.
2. Controlos de acesso melhorados: A autenticação multifactor (MFA) é necessária para todos os acessos, juntamente com políticas de palavra-passe mais fortes (comprimento mínimo aumentado de 7 para 12 caracteres) e regras de bloqueio de conta actualizadas (após 10 tentativas de início de sessão falhadas em vez de 6).
3. Análises anuais de tecnologia: O hardware e o software devem ser revistos pelo menos uma vez por ano para se manter à frente das vulnerabilidades.
4. Gestão proactiva do risco: As organizações devem resolver prontamente as falhas nos controlos de segurança e adotar abordagens adaptadas aos desafios únicos da cibersegurança.
5. Segurança de dados e de rede mais forte: Concentre-se numa encriptação robusta, em permissões de acesso mais rigorosas e em medidas de segurança de rede melhoradas para proteger os dados do titular do cartão.
6. Conformidade simplificada: Simplificação através da eliminação de requisitos desactualizados e de procedimentos de teste melhorados para garantir uma segurança abrangente.

Leia a lista completa de alterações: Resumo das alterações do PCI DSS

Simplifique a segurança com o PowerDMARC!

Quem é afetado pelo mandato DMARC do PCI DSS?

O mandato DMARC do PCI DSS terá impacto em qualquer entidade que armazene, processe ou transmita dados do titular do cartão/informações do cartão de pagamento/dados de autenticação sensíveis. Isto inclui organizações, indivíduos, componentes do sistema e fornecedores de serviços.

As entidades afectadas incluem:

• Qualquer organização, grande ou pequena, que lide ou processe pagamentos com cartão. 
• Qualquer empresa ou prestador de serviços que processe, adquira, emita ou aceite dados do titular do cartão.
• Componentes do sistema, pessoas e processos que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação sensíveis (SAD).
• Componentes do sistema com conetividade ilimitada com os que lidam com CHD/SAD, mesmo que eles próprios não os armazenem, processem ou transmitam.

Indústrias afectadas pelos requisitos do PCI DSS v4.0: 

• Empresas de comércio eletrónico 
• Instituições Financeiras 
• Retalhistas 
• Cuidados de saúde 
• Hospitalidade 
• Prestadores de serviços e fornecedores terceiros 
• Qualquer firma, empresa ou sociedade que processe pagamentos com cartão

Obtendo conformidade com o PCI DSS com o PowerDMARC

A obtenção da conformidade com o PCI DSS pode ser simplificada com o conjunto de soluções de autenticação de e-mail hospedado do PowerDMARC. Veja como:

1. ServiçosDMARC hospedados: Os serviços alojados do PowerDMARC ajudam-no a cumprir a conformidade com a versão 4 do PCI DSS através da implementação fácil e automatizada do DMARC, SPF e DKIM.
2. Relatórios e monitoramento abrangentes do DMARC: O PowerDMARC fornece relatórios forenses e agregados DMARC detalhados e simplificados. Isso permite auditar seus canais de email e manter uma abordagem de conformidade baseada em evidências.
3. Gerenciamento de conformidade simplificado: Com processos automatizados e um painel de controlo fácil de navegar, o PowerDMARC ajuda-o a gerir e a documentar os seus esforços de conformidade com o PCI DSS de forma eficiente, poupando tempo e recursos.

Consequências do incumprimento

A não implementação do DMARC e a não conformidade com os requisitos do PCI-DSS 4.0 podem resultar em 

1. Aumento do risco de ataques informáticos: A não implementação do DMARC deixa o seu nome de domínio vulnerável a spoofing, phishing e falsificação de identidade.
2. Fraca capacidade de entrega de correio eletrónico: Sem autenticação, a capacidade de entrega do seu correio eletrónico pode ser afetada, levando a um aumento das taxas de rejeição de correio eletrónico.
3. Reputação prejudicada: O aumento do risco de ataques de phishing pode prejudicar a reputação da sua marca e reduzir a confiança dos clientes.
4. Sanções financeiras pesadas: As empresas que não cumprirem os mandatos do PCI DSS estarão sujeitas a penalizações pesadas que variam entre 5000 e 100 000 dólares.

Compreender o PCI DSS e o PCI SSC 

PCI SSC é o acrónimo de Payment Card Industry Security Standards Council (Conselho de Normas de Segurança da Indústria de Cartões de Pagamento) e é uma organização global que estabelece e mantém as normas PCI Segurança de dados PCI (PCI DSS).

Reúne as principais redes de cartões, incluindo a Mastercard, Discover, American Express e Visa, para desenvolver e promover as normas de segurança necessárias para proteger as transacções com cartões de pagamento.

Porque é que a conformidade com o PCI DSS é essencial para as empresas

As normas de segurança de dados PCI são um conjunto abrangente de normas de segurança que visam garantir a proteção dos dados dos titulares de cartões durante as transacções com cartões de pagamento.

• Proteção dos dados dos titulares de cartões: O principal objetivo do PCI DSS é proteger as informações sensíveis dos titulares de cartões durante as transacções com cartões de pagamento, impedindo o acesso não autorizado ou o roubo.
• Estabelecimento de ambientes seguros para cartões de pagamento: A norma define os requisitos para que os comerciantes estabeleçam e mantenham ambientes seguros de cartões de pagamento, incluindo infra-estruturas de rede seguras, controlos de acesso e encriptação.
• Implementação de salvaguardas adequadas: O PCI DSS exige medidas de segurança específicas, como firewalls, software antivírus e práticas de codificação seguras para proteger os dados do titular do cartão.
• Manutenção de práticas de segurança contínuas: O PCI DSS realça a importância de monitorizar e manter continuamente as medidas de segurança, incluindo análises regulares de vulnerabilidades, testes de penetração e formação de sensibilização para a segurança para os funcionários.
• Garantir a conformidade em todo o sector dos cartões de pagamento: Os Padrões de Segurança de Dados PCI fornecem uma estrutura unificada para conformidade, garantindo medidas de segurança consistentes em todo o sector de cartões de pagamento e promovendo a confiança no ecossistema de pagamentos.

DMARC para PCI DSS: por que é importante 

DMARC, SPF e DKIM são protocolos de autenticação de correio eletrónico que ajudam a proteger o seu domínio e os seus e-mails contra ataques de spoofing, phishing e falsificação de identidade. Estes protocolos ajudam a distinguir entre emails legítimos e falsos enviados a partir do seu domínio, assegurando que fontes não autorizadas não podem falsificar o seu nome de domínio. Para proteger eficazmente contra ataques de falsificação do mesmo domínio, as organizações devem estabelecer uma política DMARC de "p=rejeitar" ou "p=quarentena", no mínimo.

O PCI SSC inclui a implementação do DMARC como parte dos seus esforços anti-spam e anti-phishing. O DMARC oferece vários benefícios para as organizações que o implementam, incluindo: 

• Maior entregabilidade do correio electrónico 
• Minimizou a fraude por correio eletrónico e a falsificação de nome de domínio 
• Redução das queixas de spam e das devoluções de correio eletrónico 
• Melhoria da reputação, credibilidade e confiança da marca 
• Conformidade com os regulamentos governamentais globais e locais  

Como cumprir os novos requisitos do PCI DSS 

Para manter a conformidade, as empresas devem: 

1. Implementar DMARC juntamente com tecnologias relacionadas como SPF e DKIM. 
2. Adotar uma política DMARC aplicada (como p=reject) para começar a prevenir ciberataques baseados em correio eletrónico. 
3. Implemente soluções anti-malware e de proteção de URL para impedir que as campanhas de malspam cheguem aos seus funcionários. 
4. Faça com que toda a sua equipa receba formação de sensibilização para a segurança pelo menos uma vez por mês para se manter a par das mais recentes técnicas de phishing.

Resumo

O PCI DSS serve como uma estrutura crucial para proteger as transacções de pagamento. A próxima versão 4.0 do PCI DSS destaca a importância da segurança do correio eletrónico na proteção dos dados sensíveis dos cartões de pagamento. As organizações de todos os sectores têm de adotar proactivamente o DMARC e protocolos complementares como o SPF e o DKIM para fortalecer as suas defesas contra violações de dados. 

Ao implementar o DMARC numa fase inicial, as empresas podem também melhorar a reputação da sua marca, criar confiança nos clientes e melhorar a capacidade de entrega de correio eletrónico. Dar prioridade à segurança dos pagamentos e à aplicação do DMARC promoverá um ambiente de pagamentos digitais mais seguro em todo o mundo.

Inscreva-se para atender aos requisitos DMARC do PCI DSS com o PowerDMARC. Apresse-se antes de março de 2025 para ficar em conformidade!

Perguntas frequentes sobre o PCI DSS V4.0

Que requisito de segurança da PCI está relacionado com a proteção física dos dados dos clientes dos bancos?

A norma aborda um requisito de segurança significativo da PCI relacionado com a proteção física dos dados dos clientes dos bancos. Este requisito centra-se em assegurar a implementação de medidas adequadas para garantir o acesso físico às áreas onde os dados dos clientes são armazenados ou processados. Os bancos podem proteger eficazmente as informações dos clientes contra o acesso físico não autorizado, cumprindo este requisito.

Por que é que os requisitos da v4.0 são designados por "futuros"?

O PCI SSC anunciou que os novos requisitos para a v4.0 são datados para o futuro, uma vez que ofereceriam às organizações um ano adicional (pós-2024) após a reforma da versão mais antiga do DSS para aderir aos requisitos de conformidade.

Quais são os outros requisitos futuros para a conformidade com o PCI DSS?

Os outros requisitos com data futura para a conformidade com a v4.0 são os seguintes

• Dar prioridade à encriptação, atualizar as chaves de segurança e garantir certificados válidos que não tenham expirado
• Monitorização de suportes amovíveis, como dispositivos de armazenamento de dados e pen drives
•  Dar prioridade à segurança da Web e das aplicações
• Dar prioridade à segurança das palavras-passe
• Revisão periódica do acesso dos utilizadores

• Sobre
• Últimos Posts

Ahona Rudra

Especialista em segurança de domínios e e-mails da PowerDMARC

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

• PowerDMARC faz parceria com o Loons Group para reforçar a segurança de e-mail no Qatar - 13 de março de 2025
• Phishing de correio eletrónico e anonimato online: É possível esconder-se completamente dos atacantes na Darknet? - 10 de março de 2025
• O que é o Sequestro de DNS: Deteção, Prevenção e Mitigação - 7 de março de 2025