Até março de 2025, a implementação do DMARC será obrigatória nas PCI Data Security Standards versão 4.0. O DMARC, recomendado pelo PCI SSC como um requisito com data futura, protege as empresas de ataques baseados em correio eletrónico, como o phishing. Após o prazo, as empresas que processam dados de cartões devem implementar o DMARC para uma autenticação robusta de correio eletrónico.
A política DMARC de p=rejeitar ou p=quarentena é crucial para proteger contra ataques de falsificação. Este artigo apresenta os regulamentos de conformidade DMARC PCI DSS e a razão pela qual é importante para as organizações aplicarem a proteção de dados.
O que é a norma PCI SSC e PCI DSS?
PCI SSC é um acrónimo de Payment Card Industry Security Standards Council (Conselho de Normas de Segurança da Indústria de Cartões de Pagamento) e é uma organização global que estabelece e mantém as Normas de Segurança de Dados PCI (PCI DSS).
Reúne as principais redes de cartões, incluindo a Mastercard, Discover, American Express e Visa, para desenvolver e promover as normas de segurança necessárias para proteger as transacções com cartões de pagamento.
Quais são os objectivos do PCI DSS?
As normas de segurança de dados PCI são um conjunto abrangente de normas de segurança que visam garantir a proteção dos dados dos titulares de cartões durante as transacções com cartões de pagamento.
- Proteção dos dados dos titulares de cartões: O principal objetivo do PCI DSS é proteger as informações sensíveis dos titulares de cartões durante as transacções com cartões de pagamento, impedindo o acesso não autorizado ou o roubo.
- Estabelecimento de ambientes seguros para cartões de pagamento: A norma define os requisitos para que os comerciantes estabeleçam e mantenham ambientes seguros de cartões de pagamento, incluindo infra-estruturas de rede seguras, controlos de acesso e encriptação.
- Implementação de salvaguardas adequadas: O PCI DSS exige medidas de segurança específicas, como firewalls, software antivírus e práticas de codificação seguras para proteger os dados do titular do cartão.
- Manutenção de práticas de segurança contínuas: O PCI DSS realça a importância de monitorizar e manter continuamente as medidas de segurança, incluindo análises regulares de vulnerabilidades, testes de penetração e formação de sensibilização para a segurança para os funcionários.
- Garantir a conformidade em todo o sector dos cartões de pagamento: As normas de segurança de dados PCI fornecem um quadro unificado para a conformidade, garantindo medidas de segurança consistentes em todo o sector dos cartões de pagamento e promovendo a confiança no ecossistema de pagamentos.
Próximos requisitos do PCI DSS v4.0 - O que há de novo?
O PCI DSS v4.0 substitui o PCI DSS versão 3.2.1 para combater a crescente preocupação com as ameaças à cibersegurança orquestradas por tecnologias sofisticadas. O PCI DSS v4.0 está mais bem equipado para lidar com os mais recentes desenvolvimentos tecnológicos em ameaças cibernéticas e abordá-los adequadamente.
Segue-se um resumo das alterações:
- Uma abordagem personalizada para lidar com as preocupações de cibersegurança de diferentes organizações
- Procedimentos de teste melhorados para garantir uma segurança sólida
- Maior ênfase nos controlos de segurança da rede
- Maior ênfase na criptografia forte para garantir a segurança dos dados do titular do cartão
- Supressão de requisitos redundantes
- Impor a implementação de DMARC
Ler a lista completa das alterações: Resumo das alterações do PCI DSS
Quando é que o PCI DSS v4.0 entra em ação?
O PCI DSS v4.0 entrará em pleno funcionamento a partir de março de 2025, uma vez que a versão anterior expira em março de 2024. Espera-se que as organizações migrem para novas políticas e requisitos para se manterem em conformidade com as últimas alterações.
Melhores práticas e recomendações do DMARC PCI DSS
O PCI SSC reconhece a importância do DMARC como uma prática recomendada para a autenticação de correio eletrónico e recomenda a sua implementação para melhorar as medidas de segurança.
De acordo com as directrizes DMARC do PCI DSS, as empresas podem fortalecer a sua infraestrutura de correio eletrónico e proteger-se contra ataques de falsificação de domínios.
Implementação do DMARC como um requisito do PCI DSS
Na próxima versão 4.0 do PCI DSS, a implementação do DMARC do PCI DSS será obrigatória para as empresas que processam, armazenam ou transmitem dados de cartões.
Até março de 2025, as organizações têm de garantir que o DMARC do PCI DSS é implementado juntamente com medidas complementares como o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail) para estabelecer uma abordagem abrangente à autenticação de correio eletrónico.
Medidas complementares em relação à última atualização
FPS e DKIM são protocolos adicionais que complementam o DMARC na autenticação de correio eletrónico.
O SPF permite que os proprietários de domínios definam remetentes autorizados para o seu domínio, enquanto o DKIM verifica a integridade das mensagens de correio eletrónico utilizando assinaturas digitais.
Em conjunto, estes protocolos melhoram a segurança do correio eletrónico e protegem contra ataques baseados em correio eletrónico.
Garantir uma autenticação de e-mail abrangente com DMARC
Para se protegerem eficazmente contra ataques de falsificação do mesmo domínio, as organizações devem estabelecer uma política DMARC de "p=rejeitar" ou "p=quarentena", no mínimo.
Isto assegura que os e-mails suspeitos que falham as verificações DMARC são rejeitados ou assinalados para um exame mais aprofundado, reduzindo o risco de ataques baseados em e-mail.
Leitura relacionada: O que é a autenticação de correio eletrónico?
Indústrias afectadas pelo DMARC do PCI DSS
Cuidados de saúde
O sector da saúde lida com informações sensíveis dos pacientes, incluindo dados de cartões de pagamento de serviços médicos.
As organizações de cuidados de saúde que processam pagamentos com cartões de crédito ou débito estão sujeitas às normas de segurança de dados PCI.
Requisitos DMARC e deve implementar DMARC para melhorar a segurança do correio eletrónico e proteger contra ataques baseados em correio eletrónico.
Retalho
As empresas de retalho processam extensivamente pagamentos com cartão, o que as torna um alvo privilegiado para violações de dados.
O cumprimento das normas de segurança de dados PCI é crucial para os retalhistas protegerem as informações de pagamento dos clientes. A implementação do DMARC acrescenta uma camada extra de segurança, garantindo uma comunicação segura por correio eletrónico e atenuando o risco de ataques de falsificação de domínio.
Hospitalidade
O sector da hotelaria lida com um volume significativo de transacções com cartões de crédito e débito, incluindo hotéis, resorts e restaurantes.
A conformidade com as normas de segurança de dados PCI é essencial para estes estabelecimentos protegerem os dados de pagamento dos clientes.
Ao implementar o DMARC, as empresas do sector hoteleiro podem proteger a reputação da sua marca e melhorar a segurança do correio eletrónico contra tentativas de phishing e falsificação.
Responder aos requisitos comerciais e à proteção dos clientes
Conformidade obrigatória para os processadores de dados de cartões
A conformidade com as normas PCI DSS é necessária para as empresas que processam, armazenam ou transmitem qualquer tipo de dados de cartões.
A implementação do DMARC torna-se essencial para garantir uma autenticação abrangente do correio eletrónico e proteger contra ataques de falsificação de correio eletrónico e de phishing.
A lacuna na aplicação do DMARC e na segurança do cliente
Existe uma lacuna significativa na aplicação do DMARC, com muitas organizações a necessitarem de implementar totalmente o DMARC ou de atingir níveis de aplicação.
Esta situação representa um risco para os clientes, sublinhando a importância de colmatar esta lacuna para reforçar a proteção e a segurança dos clientes.
Importância do DMARC para a proteção da marca e a confiança do consumidor
A implementação eficaz do DMARC ajuda a proteger as marcas contra falsificadores e agentes mal-intencionados, preservando a reputação da marca e criando confiança nos clientes.
Ao dar prioridade à aplicação do DMARC, as empresas demonstram o seu empenho em proteger as informações dos clientes e em promover experiências de pagamento seguras.
Conclusão
O PCI DSS serve como uma estrutura crucial para proteger as transacções de pagamento e a próxima versão 4.0 do PCI DSS destaca a implementação obrigatória do DMARC.
As organizações de todos os sectores têm de adotar proactivamente o DMARC e protocolos complementares como o SPF e o DKIM para fortalecer a autenticação do correio eletrónico e proteger contra ataques de falsificação do mesmo domínio.
Ao implementar o DMARC numa fase inicial, as empresas podem melhorar a reputação da sua marca, criar confiança nos clientes e reduzir o risco de ataques por correio eletrónico. Dar prioridade à segurança dos pagamentos e à aplicação do DMARC criará um ambiente de pagamento digital mais seguro e protegido.
Perguntas frequentes sobre o PCI DSS V4.0
Que requisito de segurança da PCI está relacionado com a proteção física dos dados dos clientes dos bancos?
A norma aborda um requisito de segurança significativo da PCI relacionado com a proteção física dos dados dos clientes dos bancos. Este requisito centra-se em assegurar a implementação de medidas adequadas para garantir o acesso físico às áreas onde os dados dos clientes são armazenados ou processados. Os bancos podem proteger eficazmente as informações dos clientes contra o acesso físico não autorizado, cumprindo este requisito.
Por que é que os requisitos da v4.0 são designados por "futuros"?
O PCI SSC anunciou que os novos requisitos para a v4.0 são datados para o futuro, uma vez que ofereceriam às organizações um ano adicional (pós-2024) após a reforma da versão mais antiga do DSS para aderir aos requisitos de conformidade.
Quais são os outros requisitos futuros para a conformidade com o PCI DSS?
Os outros requisitos com data futura para a conformidade com a v4.0 são os seguintes
- Dar prioridade à encriptação, atualizar as chaves de segurança e garantir certificados válidos que não tenham expirado
- Monitorização de suportes amovíveis, como dispositivos de armazenamento de dados e pen drives
- Dar prioridade à segurança da Web e das aplicações
- Dar prioridade à segurança das palavras-passe
- Revisão periódica do acesso dos utilizadores
- Proxies de centro de dados: Revelando o cavalo de batalha do mundo proxy - 7 de maio de 2024
- Kimsuky explora políticas DMARC "Nenhum" em recentes ataques de phishing - 6 de maio de 2024
- Aumento de fraudes fiscais e ataques de imitação de e-mail do IRS durante a época fiscal - 2 de maio de 2024