К марту 2025 года внедрение DMARC станет обязательным в PCI Data Security Standards версии 4.0. DMARC, рекомендованный PCI SSC в качестве перспективного требования, защищает компании от атак по электронной почте, таких как фишинг. После истечения этого срока компании, обрабатывающие данные карт, должны внедрить DMARC для надежной аутентификации электронной почты.
A политика DMARC p=reject или p=quarantine имеет решающее значение для защиты от спуфинг-атак. В этой статье рассказывается о правилах соответствия DMARC PCI DSS и о том, почему организациям важно обеспечить защиту данных.
Что такое стандарт PCI SSC и PCI DSS?
PCI SSC - аббревиатура от Payment Card Industry Security Standards Council - является глобальной организацией, устанавливающей и поддерживающей стандарты безопасности данных PCI (PCI DSS).
Она объединяет крупнейшие карточные сети, включая Mastercard, Discover, American Express и Visa, для разработки и продвижения стандартов безопасности, необходимых для защиты операций с платежными картами.
Каковы цели PCI DSS?
PCI Data Security Standards - это комплекс стандартов безопасности, направленных на обеспечение защиты данных держателей карт при проведении операций с платежными картами.
- Защита данных держателей карт: Основная цель PCI DSS - защита конфиденциальной информации держателей карт при проведении операций с ними, предотвращение несанкционированного доступа или кражи.
- Создание защищенной среды для работы с платежными картами: В стандарте изложены требования к торговым предприятиям по созданию и поддержанию безопасной среды для работы с платежными картами, включая безопасную сетевую инфраструктуру, контроль доступа и шифрование.
- Внедрение соответствующих мер защиты: Стандарт PCI DSS требует применения специальных мер безопасности, таких как межсетевые экраны, антивирусное программное обеспечение и методы безопасного кодирования для защиты данных о держателях карт.
- Постоянное поддержание мер безопасности: PCI DSS подчеркивает важность постоянного мониторинга и поддержания мер безопасности, включая регулярное сканирование уязвимостей, тестирование на проникновение и обучение сотрудников мерам безопасности.
- Обеспечение соответствия стандартам во всей индустрии платежных карт: Стандарты безопасности данных PCI обеспечивают единую основу для соблюдения требований, гарантируя согласованность мер безопасности во всей индустрии платежных карт и укрепляя доверие к платежной экосистеме.
Предстоящие требования PCI DSS v4.0 - что нового?
PCI DSS v4.0 заменяет PCI DSS версии 3.2.1 и призван бороться с растущей обеспокоенностью угрозами кибербезопасности, создаваемыми современными технологиями. PCI DSS v4.0 лучше приспособлен для противодействия новейшим технологическим разработкам в области киберугроз и адекватного реагирования на них.
Ниже приводится краткое описание изменений:
- Индивидуальный подход к решению проблем кибербезопасности различных организаций
- Усовершенствованные процедуры тестирования для обеспечения надежной защиты
- Больше внимания уделяется средствам контроля сетевой безопасности
- Больше внимания уделяется сильной криптографии для обеспечения безопасности данных держателей карт
- Устранение избыточных требований
- Обеспечение развертывания DMARC
Ознакомьтесь с полным списком изменений: Краткое описание изменений в PCI DSS
Когда вступает в силу PCI DSS v4.0?
PCI DSS v4.0 начнет действовать в полном объеме с марта 2025 года, поскольку срок действия старой версии истекает в марте 2024 года. Организациям предстоит перейти на новые политики и требования, чтобы оставаться в соответствии с последними изменениями.
Лучшие практики и рекомендации DMARC PCI DSS
PCI SSC признает важность DMARC как лучшей практики аутентификации электронной почты и рекомендует ее внедрение для усиления мер безопасности.
В соответствии с рекомендациями PCI DSS DMARC предприятия могут укрепить свою почтовую инфраструктуру и защитить ее от атак с подменой домена.
Внедрение DMARC как требование PCI DSS
В готовящейся к выпуску версии 4.0 стандарта PCI DSS внедрение DMARC будет обязательным для предприятий, обрабатывающих, хранящих или передающих данные о картах.
К марту 2025 года организации должны обеспечить внедрение PCI DSS DMARC наряду с такими дополнительными мерами, как SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), для создания комплексного подхода к аутентификации электронной почты.
Дополнительные меры в связи с последним обновлением
SPF и DKIM являются дополнительными протоколами, дополняющими DMARC при аутентификации электронной почты.
SPF позволяет владельцам доменов определять авторизованных отправителей для своего домена, а DKIM проверяет целостность почтовых сообщений с помощью цифровых подписей.
В совокупности эти протоколы повышают безопасность электронной почты и защищают от атак на нее.
Обеспечение комплексной аутентификации электронной почты с помощью DMARC
Для эффективной защиты от атак с подменой домена организации должны установить политику DMARC. DMARC-политику как минимум "p=reject" или "p=quarantine".
Благодаря этому подозрительные письма, не прошедшие проверку DMARC, либо отклоняются, либо помечаются для дальнейшей проверки, что снижает риск атак по электронной почте.
Читайте также: Что такое аутентификация электронной почты?
Отрасли, затронутые PCI DSS DMARC
Здравоохранение
В сфере здравоохранения обрабатывается конфиденциальная информация о пациентах, в том числе данные платежных карт для оплаты медицинских услуг.
Медицинские организации, обрабатывающие платежи по кредитным или дебетовым картам, подчиняются стандартам безопасности данных PCI.
Требования DMARC и должны внедрять DMARC для повышения безопасности электронной почты и защиты от атак по электронной почте.
Розничная торговля
Предприятия розничной торговли активно обрабатывают платежи по картам, что делает их главной мишенью для утечки данных.
Соблюдение стандартов безопасности данных PCI является важнейшим условием защиты платежной информации клиентов. Внедрение DMARC обеспечивает дополнительный уровень безопасности, гарантируя надежную передачу электронной почты и снижая риск атак на подмену домена.
Гостеприимство
Значительный объем операций с кредитными и дебетовыми картами приходится на гостиничный бизнес, курорты и рестораны.
Соответствие стандартам PCI Data Security Standards необходимо этим учреждениям для защиты платежных данных клиентов.
Внедрение DMARC позволяет предприятиям гостиничного бизнеса защитить репутацию своего бренда и повысить безопасность электронной почты от попыток фишинга и подмены.
Учет требований бизнеса и защита клиентов
Обязательное соблюдение требований для обработчиков карточных данных
Соответствие стандартам PCI DSS необходимо предприятиям, которые обрабатывают, хранят или передают данные о картах в любой форме.
Внедрение DMARC становится критически важным для обеспечения комплексной аутентификации электронной почты и защиты от подмены почты и фишинговых атак.
Разрыв в обеспечении соблюдения DMARC и безопасности клиентов
В области применения DMARC существует значительный пробел: многим организациям необходимо полностью внедрить DMARC или достичь уровня его применения.
Это создает риск для клиентов, что подчеркивает важность устранения этого пробела для усиления защиты и безопасности клиентов.
Важность DMARC для защиты бренда и доверия потребителей
Эффективное внедрение DMARC позволяет защитить бренды от поддельщиков и злоумышленников, сохранить репутацию бренда и укрепить доверие клиентов.
Отдавая приоритет применению DMARC, компании демонстрируют свою приверженность защите информации о клиентах и обеспечению безопасности платежей.
Заключение
Стандарт PCI DSS является важнейшей основой для защиты платежных транзакций, а в готовящейся к выпуску версии 4.0 стандарта PCI DSS предусмотрено обязательное внедрение DMARC.
Организации разных отраслей должны активно внедрять DMARC и дополнительные протоколы, такие как SPF и DKIM, для усиления аутентификации электронной почты и защиты от атак с подменой домена.
Своевременное внедрение DMARC позволит компаниям повысить репутацию своего бренда, укрепить доверие клиентов и снизить риск атак по электронной почте. Приоритет безопасности платежей и внедрение DMARC позволит создать более надежную и безопасную среду цифровых платежей.
Вопросы и ответы по PCI DSS V4.0
Какое требование безопасности PCI относится к физической защите клиентских данных банков?
Одно из важных требований стандарта PCI к безопасности, связанное с физической защитой данных клиентов банков, рассматривается в стандарте. Это требование касается обеспечения реализации соответствующих мер по защите физического доступа к местам хранения или обработки данных клиентов. Соблюдение этого требования позволяет банкам эффективно защищать информацию клиентов от несанкционированного физического доступа.
Почему требования v4.0 названы перспективными?
PCI SSC объявила о том, что новые требования версии 4.0 будут ориентированы на будущее, поскольку они предлагают организациям дополнительный год (после 2024 года) после выхода старой версии DSS для выполнения требований.
Каковы другие перспективные требования к соответствию стандарту PCI DSS?
Другие перспективные требования для соответствия v4.0 следующие:
- Приоритет отдается шифрованию, обновлению ключей безопасности и обеспечению действующих сертификатов с не истекшим сроком действия
- Мониторинг съемных носителей, таких как накопители данных и флешки
- Определение приоритетов в области безопасности Web и приложений
- Приоритет безопасности паролей
- Периодическая проверка доступа пользователей
- Может ли блокчейн помочь повысить безопасность электронной почты? - 9 мая 2024 г.
- Прокси для дата-центров: Раскрытие рабочей лошадки мира прокси - 7 мая 2024 г.
- Kimsuky использует политику DMARC "None" в последних фишинговых атаках - 6 мая 2024 г.