DMARC для PCI DSS: требования и рекомендации версии 4.0

Блог

DMARC - это рекомендуемая передовая практика в соответствии с PCI DSS 4.0 для повышения безопасности электронной почты. Укрепите свою стратегию соблюдения требований уже сегодня, чтобы бороться с мошенничеством с использованием электронной почты.

Ахона Рудра

Время чтения: 6 мин
DMARC для PCI DSS: требования и рекомендации версии 4.0
Оглавление-

DMARC Внедрение DMARC рекомендуется в качестве "хорошей практики" в соответствии с PCI DSS версии 4.0и дополняет другие меры безопасности, являясь частью комплексного подхода к защите электронной почты и предотвращению мошенничества. Эта инициатива организации Payment Card Industry направлена на укрепление безопасности платежей для всех организаций, работающих с данными держателей карт, хранящих или обрабатывающих их. DMARC играет ключевую роль в предотвращении атак на электронную почту, таких как фишинг и подмена, защищая конфиденциальную информацию, передаваемую по электронной почте.

Хотя DMARC, в сочетании с другими мерами предосторожности, описан как пример передовой практики в текущей версии PCI DSS, он не является обязательным или иным требованием PCI DSS. Тем не менее, использование DMARC в рамках стратегии безопасности электронной почты может значительно усилить защиту доменов, предотвратить фишинговые атаки и обеспечить лучшую доставку электронной почты - ключевые аспекты надежной системы кибербезопасности, которая может дополнить ваши усилия по соблюдению требований PCI DSS.

Ключевые выводы

  • PCI DSS v4.0 рекомендует внедрение DMARC для организаций, занимающихся обработкой карточных платежей
  • DMARC помогает организациям защититься от фишинга и атак, подменяющих почту.
  • PCI DSS упоминает о внедрении DMARC, SPF и DKIM наряду с другими средствами защиты от фишинга для обеспечения надежной безопасности электронной почты.
  • Соответствие стандарту PCI DSS v4.0 необходимо для защиты данных о держателях карт и обеспечения безопасности платежных операций.
  • Заблаговременное внедрение DMARC может укрепить доверие, повысить эффективность доставки электронной почты и снизить риски безопасности электронной почты.

Основные требования к соответствию стандарту PCI DSS 4.0 (вступает в силу в 2025 году)

PCI DSS v4.0 заменяет PCI DSS версии 3.2.1 и призван бороться с растущей обеспокоенностью угрозами кибербезопасности, создаваемыми современными технологиями. PCI DSS v4.0 лучше приспособлен для противодействия новейшим технологическим разработкам в области киберугроз и адекватного реагирования на них. 

Основные изменения включают:

  1. Усиленная защита электронной почты: PCI DSS v4.0 рекомендует организациям, работающим с карточными платежами, внедрять DMARC для повышения безопасности электронной почты и снижения рисков подмены электронной почты и утечки данных.
  2. Расширенные средства контроля доступа: Многофакторная аутентификация (MFA) требуется для всех видов доступа, а также более строгие политики паролей (минимальная длина увеличена с 7 до 12 символов) и обновленные правила блокировки учетных записей (после 10 неудачных попыток входа вместо 6).
  3. Ежегодные обзоры технологий: Аппаратное и программное обеспечение должно пересматриваться не реже одного раза в год, чтобы не пропустить уязвимости.
  4. Проактивное управление рисками: Организации должны оперативно устранять сбои в системе контроля безопасности и применять индивидуальные подходы к решению уникальных задач кибербезопасности.
  5. Усиление безопасности данных и сетей: Сосредоточьтесь на надежном шифровании, ужесточении разрешений на доступ и улучшении мер сетевой безопасности для защиты данных о держателях карт.
  6. Упорядоченное соблюдение требований: Упрощение за счет исключения устаревших требований и усовершенствованных процедур тестирования для обеспечения комплексной безопасности.

Ознакомьтесь с полным списком изменений: Краткое описание изменений в PCI DSS

Кто пострадал?

Рекомендации PCI DSS по DMARC будут полезны всем организациям, хранящим, обрабатывающим или передающим данные о держателях карт/информацию о платежных картах/чувствительные данные аутентификации. Сюда входят организации, частные лица, компоненты систем и поставщики услуг.

К числу затронутых организаций относятся:

  • Любая организация, большая или маленькая, которая занимается обработкой карточных платежей. 
  • Любая компания или поставщик услуг, которые обрабатывают, приобретают, выпускают или принимают данные о держателях карт.
  • Компоненты системы, люди и процессы, которые хранят, обрабатывают или передают данные о держателях карт (CHD) и/или конфиденциальные данные аутентификации (SAD).
  • Компоненты системы с неограниченной связью с теми, кто работает с CHD/SAD, даже если они сами не хранят, не обрабатывают и не передают его.

Затронутые отрасли включают:

  • Предприятия электронной коммерции 
  • Финансовые учреждения 
  • Розничные магазины 
  • Здравоохранение 
  • Гостеприимство 
  • Сторонние поставщики услуг и продавцы 
  • Любая фирма, предприятие или компания, обрабатывающая карточные платежи

Внедрение DMARC для соответствия стандарту PCI DSS с помощью PowerDMARC

DMARC, хотя и не является единственным требованием, дополняет усилия по обеспечению соответствия стандарту PCI DSS. Внедрение DMARC можно упростить с помощью пакета решений PowerDMARC для аутентификации электронной почты на хостинге. Вот как:

  1. Хостируемые услугиDMARC: Услуги PowerDMARC, предоставляемые на хостинге, помогут вам соответствовать требованиям PCI DSS версии 4 благодаря простому и автоматизированному внедрению DMARC, SPF и DKIM.
  2. Комплексная отчетность и мониторинг DMARC: PowerDMARC предоставляет подробные, упрощенные отчеты по совокупности DMARC и криминалистические отчеты. Это позволяет вам проводить аудит ваших каналов электронной почты и поддерживать подход к соблюдению нормативных требований, основанный на доказательствах.
  3. Упрощенное управление соответствием: Благодаря автоматизированным процессам и удобной панели управления PowerDMARC помогает вам эффективно управлять и документировать работу по обеспечению соответствия требованиям PCI DSS, экономя время и ресурсы.

Последствия отказа от внедрения DMARC

Хотя PCI DSS не предусматривает прямых штрафов за отсутствие DMARC, организации могут столкнуться со значительными рисками в области кибербезопасности.

Невыполнение DMARC может привести к: 

  1. Повышенный риск кибер-атак: Невыполнение DMARC делает ваше доменное имя уязвимым для подмены, фишинга и самозванства.
  2. Плохая доставляемость электронной почты: Без аутентификации доставка электронной почты может пострадать, что приведет к увеличению числа отказов.
  3. Поврежденная репутация: Повышенный риск фишинговых атак может нанести ущерб репутации вашего бренда и снизить доверие клиентов.

Упростите безопасность с помощью PowerDMARC!

15-дн. пр. версияЗаказать демо

Понимание принципов PCI DSS и PCI SSC 

PCI SSC - это аббревиатура от Payment Card Industry Security Standards Council (Совет по стандартам безопасности индустрии платежных карт). Это глобальная организация, которая устанавливает и поддерживает стандарт PCI безопасность данных Стандарты безопасности данных PCI (PCI DSS).

Она объединяет крупнейшие карточные сети, включая Mastercard, Discover, American Express и Visa, для разработки и продвижения стандартов безопасности, необходимых для защиты операций с платежными картами.

Почему соответствие стандарту PCI DSS необходимо для бизнеса

Стандарты безопасности данных PCI - это всеобъемлющий набор стандартов безопасности, которые призваны обеспечить защиту данных держателей карт во время операций с платежными картами.

  • Защита данных держателей карт: Основная цель PCI DSS - защитить конфиденциальную информацию держателей карт во время операций с платежными картами, предотвратить несанкционированный доступ или кражу.
  • Создание безопасной среды для платежных карт: В стандарте изложены требования к продавцам по созданию и поддержанию безопасной среды для платежных карт, включая безопасную сетевую инфраструктуру, контроль доступа и шифрование.
  • Внедрение соответствующих мер защиты: PCI DSS требует принятия специальных мер безопасности, таких как брандмауэры, антивирусное программное обеспечение и безопасные методы кодирования для защиты данных о держателях карт.
  • Постоянное поддержание мер безопасности: PCI DSS подчеркивает важность постоянного мониторинга и поддержания мер безопасности, включая регулярное сканирование уязвимостей, тестирование на проникновение и обучение сотрудников мерам безопасности.
  • Обеспечение соответствия стандартам во всей индустрии платежных карт: Стандарты безопасности данных PCI обеспечивают единую основу для соблюдения требований, гарантируя последовательное применение мер безопасности в индустрии платежных карт и укрепляя доверие к платежной экосистеме.

DMARC для PCI DSS: почему это важно 

DMARC, SPF и DKIM Это протоколы аутентификации электронной почты, которые помогают защитить ваш домен и электронные письма от поддельных, фишинговых и самозваных атак. Эти протоколы помогают отличить легитимные письма от поддельных, отправляемых с вашего домена, гарантируя, что неавторизованные источники не смогут подделать ваше доменное имя. Для эффективной защиты от атак, подменяющих один и тот же домен, организации должны установить политика DMARC как минимум "p=reject" или "p=quarantine".

PCI SSC включает внедрение DMARC как часть своих усилий по борьбе со спамом и фишингом. DMARC предлагает несколько преимуществ для организаций, внедряющих его, в том числе: 

  • Улучшенная доставка электронной почты 
  • Минимизация мошенничества с электронной почтой и выдачей себя за доменное имя 
  • Сокращение количества жалоб на спам и отказов от электронной почты 
  • Повышение репутации бренда, авторитета и доверия 
  • Соблюдение требований глобальных и местных государственных нормативных актов  

Как соответствовать требованиям и рекомендациям PCI DSS 

Чтобы оставаться в соответствии с рекомендациями PCI DSS, компании могут: 

  1. Внедрите DMARC, SPF и DKIM наряду с соответствующими технологиями защиты от фишинга. 
  2. Перейдите на принудительную политику DMARC (например, p=reject), чтобы начать предотвращать кибератаки на основе электронной почты. 
  3. Внедрите решения для защиты от вредоносного ПО и URL-адресов, чтобы предотвратить попадание вредоносных спам-кампаний к вашим сотрудникам. 
  4. Пусть вся ваша команда хотя бы раз в месяц проходит тренинг по безопасности, чтобы быть в курсе новейших методов фишинга.

Подведение итогов

Стандарт PCI DSS служит важнейшей основой для защиты платежных операций. В готовящейся к выпуску версии 4.0 стандарта PCI DSS подчеркивается важность безопасности электронной почты для защиты конфиденциальных данных платежных карт. Организациям разных отраслей рекомендуется активно внедрять DMARC, дополнительные протоколы, такие как SPF и DKIM, или аналогичные средства защиты от фишинга, чтобы укрепить свою оборону от утечки данных. 

Своевременное внедрение DMARC позволит компаниям укрепить репутацию своего бренда, повысить доверие клиентов и улучшить качество доставки электронной почты. Приоритет безопасности платежей и внедрение DMARC будет способствовать созданию более безопасной среды цифровых платежей во всем мире.

Зарегистрируйтесь сегодня, чтобы повысить безопасность электронной почты с помощью PowerDMARC и укрепить свои усилия по соблюдению требований PCI DSS!

Вопросы и ответы по PCI DSS V4.0

Какое требование безопасности PCI относится к физической защите клиентских данных банков?

В стандарте предусмотрено одно важное требование безопасности PCI, связанное с физической защитой данных клиентов банков. Это требование касается реализации соответствующих мер по обеспечению физического доступа к зонам, где хранятся или обрабатываются данные клиентов. Соблюдая это требование, банки могут эффективно защитить информацию клиентов от несанкционированного физического доступа.

Почему требования v4.0 названы перспективными?

PCI SSC объявила о том, что новые требования версии 4.0 будут ориентированы на будущее, поскольку они предлагают организациям дополнительный год (после 2024 года) после выхода старой версии DSS для выполнения требований.

Каковы другие перспективные требования к соответствию стандарту PCI DSS?

Другие перспективные требования для соответствия v4.0 следующие:

  • Приоритет отдается шифрованию, обновлению ключей безопасности и обеспечению действующих сертификатов с не истекшим сроком действия
  • Мониторинг съемных носителей, таких как накопители данных и флешки
  • Определение приоритетов в области безопасности Web и приложений
  • Приоритет безопасности паролей
  • Периодическая проверка доступа пользователей

Последние сообщения Ахона Рудра (см. все)
554 5.7.5 Постоянная ошибка при оценке политики DMARC [SOLVED]554 5.7.5 Постоянная ошибка при оценке политики DMARCУстранение неполадок с электронной почтой, отклоненной в соответствии с политикой DMARCУстранение неполадок "Электронная почта отклонена в соответствии с политикой DMARC" [РЕШЕНО]