К марту 2025 года внедрение DMARC станет обязательным в PCI Data Security Standards версии 4.0. Протокол аутентификации DMARC рекомендован Советом по стандартам безопасности индустрии платежных карт (PCI SSC) как требование будущего, и он защищает компании от атак по электронной почте, таких как фишинг.
В этой статье мы расскажем вам о правилах соответствия DMARC PCI DSS и о том, почему организациям важно обеспечить защиту данных.
Ключевые выводы
- К марту 2025 года PCI DSS v4.0 обязывает все организации, работающие с данными держателей карт, внедрить DMARC.
- DMARC помогает организациям защититься от фишинга и атак, подменяющих почту.
- PCI DSS подчеркивает важность внедрения DMARC наряду с SPF и DKIM для надежной аутентификации электронной почты.
- Соответствие стандарту PCI DSS v4.0 необходимо для защиты данных о держателях карт и обеспечения безопасности платежных операций.
- Заблаговременное внедрение DMARC может укрепить доверие, повысить эффективность доставки электронной почты и снизить риски безопасности электронной почты.
Понимание принципов PCI DSS и PCI SSC
PCI SSC - это аббревиатура от Payment Card Industry Security Standards Council (Совет по стандартам безопасности индустрии платежных карт). Это глобальная организация, которая устанавливает и поддерживает стандарт PCI безопасность данных Стандарты безопасности данных PCI (PCI DSS).
Она объединяет крупнейшие карточные сети, включая Mastercard, Discover, American Express и Visa, для разработки и продвижения стандартов безопасности, необходимых для защиты операций с платежными картами.
Почему соответствие стандарту PCI DSS необходимо для бизнеса
PCI Data Security Standards - это комплекс стандартов безопасности, направленных на обеспечение защиты данных держателей карт при проведении операций с платежными картами.
- Защита данных держателей карт: Основная цель PCI DSS - защитить конфиденциальную информацию держателей карт во время операций с платежными картами, предотвратить несанкционированный доступ или кражу.
- Создание безопасной среды для платежных карт: В стандарте изложены требования к продавцам по созданию и поддержанию безопасной среды для платежных карт, включая безопасную сетевую инфраструктуру, контроль доступа и шифрование.
- Внедрение соответствующих мер защиты: PCI DSS требует принятия специальных мер безопасности, таких как брандмауэры, антивирусное программное обеспечение и безопасные методы кодирования для защиты данных о держателях карт.
- Постоянное поддержание мер безопасности: PCI DSS подчеркивает важность постоянного мониторинга и поддержания мер безопасности, включая регулярное сканирование уязвимостей, тестирование на проникновение и обучение сотрудников мерам безопасности.
- Обеспечение соответствия стандартам во всей индустрии платежных карт: Стандарты безопасности данных PCI обеспечивают единую основу для соблюдения требований, гарантируя последовательность мер безопасности в индустрии платежных карт и укрепляя доверие к платежной экосистеме.
На кого распространяется требование PCI DSS DMARC?
Мандат PCI DSS DMARC затронет любую организацию, хранящую, обрабатывающую или передающую данные о держателях карт/информацию о платежных картах/чувствительные данные аутентификации. Сюда входят организации, отдельные лица, компоненты систем и поставщики услуг.
К числу затронутых организаций относятся:
- Любая компания или поставщик услуг, которые обрабатывают, приобретают, выпускают или принимают данные о держателях карт.
- Компоненты системы, люди и процессы, которые хранят, обрабатывают или передают данные о держателях карт (CHD) и/или конфиденциальные данные аутентификации (SAD).
- Компоненты системы с неограниченной связью с теми, кто работает с CHD/SAD, даже если они сами не хранят, не обрабатывают и не передают его.
Ключевые требования PCI DSS v4.0 (вступит в силу в 2025 году)
PCI DSS v4.0 заменяет PCI DSS версии 3.2.1 и призван бороться с растущей обеспокоенностью угрозами кибербезопасности, создаваемыми современными технологиями. PCI DSS v4.0 лучше приспособлен для противодействия новейшим технологическим разработкам в области киберугроз и адекватного реагирования на них.
Ниже приводится краткое описание изменений:
- Индивидуальный подход к решению проблем кибербезопасности различных организаций
- Усовершенствованные процедуры тестирования для обеспечения надежной защиты
- Больше внимания уделяется средствам контроля сетевой безопасности
- Больше внимания уделяется сильной криптографии для обеспечения безопасности данных держателей карт
- Устранение избыточных требований
- Обеспечение развертывания DMARC
Ознакомьтесь с полным списком изменений: Краткое описание изменений в PCI DSS
Обеспечение соответствия стандарту PCI DSS с помощью PowerDMARC
Достижение соответствия стандарту PCI DSS может быть упрощено с помощью набора решений PowerDMARC для защиты электронной почты. Вот как:
- Аутентификация и безопасность электронной почты: PowerDMARC поможет вам в процессе обеспечения соответствия стандарту PCI DSS версии 4 благодаря удобному и простому внедрению протоколов DMARC, SPF и DKIM.
- Комплексная отчетность и мониторинг: PowerDMARC предоставляет подробные отчеты и возможности мониторинга в режиме реального времени, позволяя вам проводить аудит каналов электронной почты и применять доказательный подход к соблюдению требований.
- Упрощенное управление соответствием нормативным требованиям: Благодаря автоматизированным процессам и удобной панели управления PowerDMARC помогает вам эффективно управлять и документировать работу по обеспечению соответствия требованиям PCI DSS, экономя время и ресурсы.
Роль DMARC в обеспечении безопасности электронной почты для соответствия требованиям PCI DSS
PCI SSC признает важность DMARC как лучшей практики аутентификации электронной почты и рекомендует ее внедрение для усиления мер безопасности.
Согласно рекомендациям PCI DSS DMARC, предприятия могут укрепить свою инфраструктуру электронной почты и защититься от атак с подменой домена. В предстоящей версии 4.0 стандарта PCI DSS DMARC будет обязательным для предприятий, обрабатывающих, хранящих или передающих данные о картах.
К марту 2025 года организации должны обеспечить внедрение PCI DSS DMARC наряду с такими дополнительными мерами, как SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), для создания комплексного подхода к аутентификации электронной почты.
Что такое SPF, DKIM и DMARC?
SPF, DKIM и DMARC - это протоколы проверки подлинности электронной почты, которые помогают защитить ваш домен и электронную почту от поддельных, фишинговых и самозваных атак. Эти протоколы помогают отличить легитимные письма от поддельных, отправляемых с вашего домена, гарантируя, что неавторизованные источники не смогут совершать фишинговые атаки от вашего имени.
Читайте также: Что такое аутентификация электронной почты?
Что делают эти протоколы
SPF авторизует легитимных отправителей для вашего домена, чтобы убедиться, что неавторизованные источники не могут отправлять электронные сообщения от имени вашего домена. DKIM добавляет цифровые подписи к исходящим сообщениям, чтобы предотвратить их изменение субъектами угроз до того, как они достигнут адресата.
DMARC - это клей, который связывает их воедино, позволяя отправителям инструктировать серверы-получатели о том, как обрабатывать электронные письма, не прошедшие проверку подлинности SPF и/или DKIM. С помощью DMARC отправители могут выбирать, отклонять, помещать в карантин или доставлять письма, не прошедшие проверку подлинности.
Для эффективной защиты от атак, подменяющих один и тот же домен, организации должны установить политику DMARC как минимум "p=reject" или "p=quarantine".
Учет требований бизнеса и защита клиентов
Обязательное соблюдение требований для обработчиков карточных данных
Соответствие стандартам PCI DSS необходимо предприятиям, которые обрабатывают, хранят или передают данные о картах в любой форме.
Внедрение DMARC становится критически важным для обеспечения комплексной аутентификации электронной почты и защиты от подмены почты и фишинговых атак.
Разрыв в обеспечении соблюдения DMARC и безопасности клиентов
В области применения DMARC существует значительный пробел: многим организациям необходимо полностью внедрить DMARC или достичь уровня его применения.
Это создает риск для клиентов, что подчеркивает важность устранения этого пробела для усиления защиты и безопасности клиентов.
Важность DMARC для защиты бренда и доверия потребителей
Эффективное внедрение DMARC позволяет защитить бренды от поддельщиков и злоумышленников, сохранить репутацию бренда и укрепить доверие клиентов.
Отдавая приоритет применению DMARC, компании демонстрируют свою приверженность защите информации о клиентах и обеспечению безопасности платежей.
Подведение итогов
Стандарт PCI DSS является важнейшей основой для защиты платежных транзакций, а в готовящейся к выпуску версии 4.0 стандарта PCI DSS предусмотрено обязательное внедрение DMARC.
Организации разных отраслей должны активно внедрять DMARC и дополнительные протоколы, такие как SPF и DKIM для усиления аутентификации электронной почты и защиты от атак с подменой домена.
Своевременное внедрение DMARC позволит компаниям повысить репутацию своего бренда, укрепить доверие клиентов и снизить риск атак по электронной почте. Приоритет безопасности платежей и внедрение DMARC позволит создать более надежную и безопасную среду цифровых платежей.
Вопросы и ответы по PCI DSS V4.0
Какое требование безопасности PCI относится к физической защите клиентских данных банков?
В стандарте предусмотрено одно важное требование безопасности PCI, связанное с физической защитой данных клиентов банков. Это требование касается реализации соответствующих мер по обеспечению физического доступа к зонам, где хранятся или обрабатываются данные клиентов. Соблюдая это требование, банки могут эффективно защитить информацию клиентов от несанкционированного физического доступа.
Почему требования v4.0 названы перспективными?
PCI SSC объявила о том, что новые требования версии 4.0 будут ориентированы на будущее, поскольку они предлагают организациям дополнительный год (после 2024 года) после выхода старой версии DSS для выполнения требований.
Каковы другие перспективные требования к соответствию стандарту PCI DSS?
Другие перспективные требования для соответствия v4.0 следующие:
- Приоритет отдается шифрованию, обновлению ключей безопасности и обеспечению действующих сертификатов с не истекшим сроком действия
- Мониторинг съемных носителей, таких как накопители данных и флешки
- Определение приоритетов в области безопасности Web и приложений
- Приоритет безопасности паролей
- Периодическая проверка доступа пользователей
- Рост числа фишинговых атак с использованием претекстов - 15 января 2025 г.
- DMARC станет обязательным для индустрии платежных карт с 2025 года - 12 января 2025 г.
- Изменения в NCSC Mail Check и их влияние на безопасность электронной почты в государственном секторе Великобритании - 11 января 2025 г.