DMARC para PCI DSS: Requisitos e recomendações da versão 4.0

Blog

O DMARC é uma boa prática recomendada pelo PCI DSS 4.0 para melhorar a segurança do correio eletrónico. Reforce hoje a sua estratégia de conformidade para combater a fraude por correio eletrónico.

por Ahona Rudra

Tempo de leitura: 6 min
DMARC para PCI DSS: Requisitos e recomendações da versão 4.0
Índice-

A IMPLEMENTAÇÃO DO DMARC A implementação do DMARC é recomendada como uma "boa prática" no âmbito do PCI DSS versão 4.0complementando outras medidas de segurança como parte de uma abordagem abrangente à proteção do correio eletrónico e à prevenção de fraudes. Esta iniciativa da Indústria de Cartões de Pagamento tem como objetivo reforçar a segurança dos pagamentos para todas as entidades que lidam, armazenam ou processam dados de titulares de cartões. O DMARC desempenha um papel fundamental para ajudar as empresas a evitar ataques baseados em correio eletrónico, como phishing e spoofing, protegendo as informações sensíveis trocadas por correio eletrónico.

Embora o DMARC, em conjunto com outras precauções, seja descrito como um exemplo de boas práticas na versão atual do PCI DSS, não é obrigatório ou exigido pelo PCI DSS. No entanto, a adoção do DMARC como parte da sua estratégia de segurança de correio eletrónico pode melhorar significativamente a proteção do domínio, evitar ataques de phishing e garantir uma melhor capacidade de entrega de correio eletrónico - aspectos essenciais de uma estrutura de segurança cibernética robusta que pode complementar os seus esforços de conformidade com o PCI DSS.

Takeaways de chaves

  • O PCI DSS v4.0 recomenda a implementação do DMARC para organizações que lidam ou processam pagamentos com cartão
  • O DMARC ajuda as organizações a protegerem-se contra ataques de phishing e de falsificação de correio eletrónico.
  • O PCI DSS menciona a implementação de DMARC, SPF e DKIM juntamente com outros controlos anti-phishing para uma segurança de correio eletrónico robusta.
  • Alcançar a conformidade com o PCI DSS v4.0 é essencial para proteger os dados do titular do cartão e garantir transacções de pagamento seguras.
  • A aplicação precoce do DMARC pode criar confiança, melhorar a capacidade de entrega de correio eletrónico e reduzir os riscos de segurança baseados no correio eletrónico.

Principais requisitos para a conformidade com o PCI DSS 4.0 (a partir de 2025)

O PCI DSS v4.0 substitui o PCI DSS versão 3.2.1 para combater a crescente preocupação com as ameaças à cibersegurança orquestradas por tecnologias sofisticadas. O PCI DSS v4.0 está mais bem equipado para lidar com os mais recentes desenvolvimentos tecnológicos em ameaças cibernéticas e abordá-los adequadamente. 

As principais alterações incluem:

  1. Segurança de correio eletrónico reforçada: O PCI DSS v4.0 incentiva as organizações que lidam com pagamentos com cartão a implementar o DMARC para melhorar a segurança do correio eletrónico e reduzir os riscos de falsificação de correio eletrónico e violações de dados.
  2. Controlos de acesso melhorados: A autenticação multifactor (MFA) é necessária para todos os acessos, juntamente com políticas de palavra-passe mais fortes (comprimento mínimo aumentado de 7 para 12 caracteres) e regras de bloqueio de conta actualizadas (após 10 tentativas de início de sessão falhadas em vez de 6).
  3. Análises anuais de tecnologia: O hardware e o software devem ser revistos pelo menos uma vez por ano para se manter à frente das vulnerabilidades.
  4. Gestão proactiva do risco: As organizações devem resolver prontamente as falhas nos controlos de segurança e adotar abordagens adaptadas aos desafios únicos da cibersegurança.
  5. Segurança de dados e de rede mais forte: Concentre-se numa encriptação robusta, em permissões de acesso mais rigorosas e em medidas de segurança de rede melhoradas para proteger os dados do titular do cartão.
  6. Conformidade simplificada: Simplificação através da eliminação de requisitos desactualizados e de procedimentos de teste melhorados para garantir uma segurança abrangente.

Leia a lista completa de alterações: Resumo das alterações do PCI DSS

Quem é afetado?

A recomendação do PCI DSS para DMARC beneficiará qualquer entidade que armazene, processe ou transmita dados do titular do cartão/informações do cartão de pagamento/dados de autenticação sensíveis. Isto inclui organizações, indivíduos, componentes do sistema e fornecedores de serviços.

As entidades afectadas incluem:

  • Qualquer organização, grande ou pequena, que lide ou processe pagamentos com cartão. 
  • Qualquer empresa ou prestador de serviços que processe, adquira, emita ou aceite dados do titular do cartão.
  • Componentes do sistema, pessoas e processos que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação sensíveis (SAD).
  • Componentes do sistema com conetividade ilimitada com os que lidam com CHD/SAD, mesmo que eles próprios não os armazenem, processem ou transmitam.

As indústrias afectadas incluem:

  • Empresas de comércio eletrónico 
  • Instituições Financeiras 
  • Retalhistas 
  • Cuidados de saúde 
  • Hospitalidade 
  • Prestadores de serviços e fornecedores terceiros 
  • Qualquer firma, empresa ou sociedade que processe pagamentos com cartão

Implementação do DMARC para conformidade com o PCI DSS com o PowerDMARC

O DMARC, embora não seja um requisito exclusivo, complementa os esforços de conformidade com o PCI DSS. A implementação do DMARC pode ser simplificada com o conjunto de soluções de autenticação de email hospedado do PowerDMARC. Veja como:

  1. ServiçosDMARC hospedados: Os serviços alojados do PowerDMARC ajudam-no a cumprir a conformidade com a versão 4 do PCI DSS através da implementação fácil e automatizada do DMARC, SPF e DKIM.
  2. Relatórios e monitoramento abrangentes do DMARC: O PowerDMARC fornece relatórios forenses e agregados DMARC detalhados e simplificados. Isso permite auditar seus canais de email e manter uma abordagem de conformidade baseada em evidências.
  3. Gerenciamento de conformidade simplificado: Com processos automatizados e um painel de controlo fácil de navegar, o PowerDMARC ajuda-o a gerir e a documentar os seus esforços de conformidade com o PCI DSS de forma eficiente, poupando tempo e recursos.

Consequências da não implementação do DMARC

Embora o PCI DSS não imponha sanções diretas pela não implementação do DMARC, as organizações podem enfrentar riscos significativos de cibersegurança.

A não implementação do DMARC pode resultar em: 

  1. Aumento do risco de ataques informáticos: A não implementação do DMARC deixa o seu nome de domínio vulnerável a spoofing, phishing e falsificação de identidade.
  2. Fraca capacidade de entrega de correio eletrónico: Sem autenticação, a capacidade de entrega do seu correio eletrónico pode ser afetada, levando a um aumento das taxas de rejeição de correio eletrónico.
  3. Reputação prejudicada: O aumento do risco de ataques de phishing pode prejudicar a reputação da sua marca e reduzir a confiança dos clientes.

Simplifique a segurança com o PowerDMARC!

Teste grátis 15 diasMarcar demo

Compreender o PCI DSS e o PCI SSC 

PCI SSC é o acrónimo de Payment Card Industry Security Standards Council (Conselho de Normas de Segurança da Indústria de Cartões de Pagamento) e é uma organização global que estabelece e mantém as normas PCI Segurança de dados PCI (PCI DSS).

Reúne as principais redes de cartões, incluindo a Mastercard, Discover, American Express e Visa, para desenvolver e promover as normas de segurança necessárias para proteger as transacções com cartões de pagamento.

Porque é que a conformidade com o PCI DSS é essencial para as empresas

As normas de segurança de dados PCI são um conjunto abrangente de normas de segurança que visam garantir a proteção dos dados dos titulares de cartões durante as transacções com cartões de pagamento.

  • Proteção dos dados dos titulares de cartões: O principal objetivo do PCI DSS é proteger as informações sensíveis dos titulares de cartões durante as transacções com cartões de pagamento, impedindo o acesso não autorizado ou o roubo.
  • Estabelecimento de ambientes seguros para cartões de pagamento: A norma define os requisitos para que os comerciantes estabeleçam e mantenham ambientes seguros de cartões de pagamento, incluindo infra-estruturas de rede seguras, controlos de acesso e encriptação.
  • Implementação de salvaguardas adequadas: O PCI DSS exige medidas de segurança específicas, como firewalls, software antivírus e práticas de codificação seguras para proteger os dados do titular do cartão.
  • Manutenção de práticas de segurança contínuas: O PCI DSS realça a importância de monitorizar e manter continuamente as medidas de segurança, incluindo análises regulares de vulnerabilidades, testes de penetração e formação de sensibilização para a segurança para os funcionários.
  • Garantir a conformidade em todo o sector dos cartões de pagamento: Os Padrões de Segurança de Dados PCI fornecem uma estrutura unificada para conformidade, garantindo medidas de segurança consistentes em todo o sector de cartões de pagamento e promovendo a confiança no ecossistema de pagamentos.

DMARC para PCI DSS: por que é importante 

DMARC, SPF e DKIM são protocolos de autenticação de correio eletrónico que ajudam a proteger o seu domínio e os seus e-mails contra ataques de spoofing, phishing e falsificação de identidade. Estes protocolos ajudam a distinguir entre emails legítimos e falsos enviados a partir do seu domínio, assegurando que fontes não autorizadas não podem falsificar o seu nome de domínio. Para proteger eficazmente contra ataques de falsificação do mesmo domínio, as organizações devem estabelecer uma política DMARC de "p=rejeitar" ou "p=quarentena", no mínimo.

O PCI SSC inclui a implementação do DMARC como parte dos seus esforços anti-spam e anti-phishing. O DMARC oferece vários benefícios para as organizações que o implementam, incluindo: 

  • Maior entregabilidade do correio electrónico 
  • Minimizou a fraude por correio eletrónico e a falsificação de nome de domínio 
  • Redução das queixas de spam e das devoluções de correio eletrónico 
  • Melhoria da reputação, credibilidade e confiança da marca 
  • Conformidade com os regulamentos governamentais globais e locais  

Como cumprir os requisitos e as recomendações do PCI DSS 

Para manter a conformidade com as recomendações do PCI DSS, as empresas podem: 

  1. Implementar DMARC, SPF e DKIM juntamente com tecnologias anti-phishing relacionadas. 
  2. Adotar uma política DMARC aplicada (como p=reject) para começar a prevenir ciberataques baseados em correio eletrónico. 
  3. Implemente soluções anti-malware e de proteção de URL para impedir que as campanhas de malspam cheguem aos seus funcionários. 
  4. Faça com que toda a sua equipa receba formação de sensibilização para a segurança pelo menos uma vez por mês para se manter a par das mais recentes técnicas de phishing.

Resumo

O PCI DSS serve como uma estrutura crucial para proteger as transacções de pagamento. A próxima versão 4.0 do PCI DSS destaca a importância da segurança do correio eletrónico na proteção dos dados sensíveis dos cartões de pagamento. As organizações de todos os sectores são aconselhadas a adotar proactivamente o DMARC, protocolos complementares como o SPF e o DKIM, ou controlos anti-phishing semelhantes para fortalecer as suas defesas contra violações de dados. 

Ao implementar o DMARC numa fase inicial, as empresas podem também melhorar a reputação da sua marca, criar confiança nos clientes e melhorar a capacidade de entrega de correio eletrónico. Dar prioridade à segurança dos pagamentos e à aplicação do DMARC promoverá um ambiente de pagamentos digitais mais seguro em todo o mundo.

Inscreva-se hoje para melhorar a segurança do seu correio eletrónico com o PowerDMARC e reforçar os seus esforços de conformidade com as melhores práticas do PCI DSS!

Perguntas frequentes sobre o PCI DSS V4.0

Que requisito de segurança da PCI está relacionado com a proteção física dos dados dos clientes dos bancos?

A norma aborda um requisito de segurança significativo da PCI relacionado com a proteção física dos dados dos clientes dos bancos. Este requisito centra-se em assegurar a implementação de medidas adequadas para garantir o acesso físico às áreas onde os dados dos clientes são armazenados ou processados. Os bancos podem proteger eficazmente as informações dos clientes contra o acesso físico não autorizado, cumprindo este requisito.

Por que é que os requisitos da v4.0 são designados por "futuros"?

O PCI SSC anunciou que os novos requisitos para a v4.0 são datados para o futuro, uma vez que ofereceriam às organizações um ano adicional (pós-2024) após a reforma da versão mais antiga do DSS para aderir aos requisitos de conformidade.

Quais são os outros requisitos futuros para a conformidade com o PCI DSS?

Os outros requisitos com data futura para a conformidade com a v4.0 são os seguintes

  • Dar prioridade à encriptação, atualizar as chaves de segurança e garantir certificados válidos que não tenham expirado
  • Monitorização de suportes amovíveis, como dispositivos de armazenamento de dados e pen drives
  • Dar prioridade à segurança da Web e das aplicações
  • Dar prioridade à segurança das palavras-passe
  • Revisão periódica do acesso dos utilizadores

Últimos posts de Ahona Rudra (ver todos)
554 5.7.5 Política de Avaliação Permanente de Erros de DMARC [SOLVIDO]554 5.7.5 Erro permanente ao avaliar a política DMARCResolução de problemas de correio electrónico rejeitado pela política DMARCResolução de problemas "E-mail Rejeitado por Política DMARC" [SOLVIDO]