到 2025 年 3 月,PCI 数据安全标准 4.0 版将强制实施 DMARC。 PCI 数据安全标准 4.0 版中强制实施。DMARC 身份验证协议是支付卡行业安全标准委员会(PCI SSC)推荐的未来要求,它可以保护公司免受网络钓鱼等基于电子邮件的攻击。
本文将带您了解 DMARC PCI DSS 合规性规定,以及为什么组织必须执行数据保护。
主要收获
- 到 2025 年 3 月,PCI DSS v4.0 规定所有处理持卡人数据的实体都必须实施 DMARC。
- DMARC 可帮助组织防范网络钓鱼和电子邮件欺骗攻击。
- PCI DSS 强调在实施 SPF 和 DKIM 的同时实施 DMARC,以实现强大的电子邮件验证功能。
- 遵守 PCI DSS v4.0 对于保护持卡人数据和确保支付交易安全至关重要。
- 及早执行 DMARC 可以建立信任、提高电子邮件的可送达性并降低基于电子邮件的安全风险。
了解 PCI DSS 和 PCI SSC
PCI SSC 是支付卡行业安全标准委员会(Payment Card Industry Security Standards Council)的缩写,是一个全球性组织,负责建立和维护 PCI 数据安全标准 (PCI DSS)。
它联合了包括万事达卡、发现卡、美国运通卡和维萨卡在内的主要银行卡网络,共同制定和推广保护支付卡交易的必要安全标准。
为什么 PCI DSS 合规性对企业至关重要
PCI数据安全标准是一套全面的安全标准,旨在确保在支付卡交易过程中保护持卡人的数据。
- 保护持卡人的数据: PCI DSS 的主要目标是保护持卡人在支付卡交易过程中的敏感信息,防止未经授权的访问或盗窃。
- 建立安全的支付卡环境:该标准概述了商家建立和维护安全支付卡环境的要求,包括安全网络基础设施、访问控制和加密。
- 实施适当的保障措施:PCI DSS 规定了具体的安全措施,如防火墙、防病毒软件和安全编码实践,以保护持卡人数据。
- 保持持续的安全实践:PCI DSS 强调持续监控和维护安全措施的重要性,包括定期进行漏洞扫描、渗透测试和员工安全意识培训。
- 确保整个支付卡行业的合规性:PCI 数据安全标准提供了一个统一的合规框架,确保整个支付卡行业采取一致的安全措施,提高支付生态系统的信任度。
谁会受到 PCI DSS DMARC 规定的影响?
PCI DSS DMARC 规定将影响任何存储、处理或传输持卡人数据/支付卡信息/敏感身份验证数据的实体。这包括组织、个人、系统组件和服务提供商。
受影响的实体包括
- 任何处理、获取、发行或接受持卡人数据的公司或服务提供商。
- 存储、处理或传输持卡人数据 (CHD) 和/或敏感身份验证数据 (SAD) 的系统组件、人员和流程。
- 与处理 CHD/SAD 的系统组件具有不受限制的连接性,即使这些组件本身并不存储、处理或传输 CHD/SAD。
PCI DSS v4.0 的主要要求(2025 年生效)
PCI DSS v4.0取代了PCI DSS 3.2.1版本,以应对日益严重的由尖端技术精心策划的网络安全威胁。PCI DSS v4.0能够更好地应对网络威胁方面的最新技术发展,并充分解决这些问题。
以下是变更摘要:
- 为不同组织量身定制的网络安全解决方案
- 强化测试程序,确保安全
- 更加注重网络安全控制
- 更加注重强大的加密技术,确保持卡人的数据安全
- 删除多余要求
- 强制部署DMARC
阅读完整的变更列表: PCI DSS 变更摘要
利用 PowerDMARC 实现 PCI DSS 合规性
使用 PowerDMARC 的电子邮件安全解决方案套件,可以简化实现 PCI DSS 合规性的过程。具体方法如下:
- 电子邮件验证与安全:PowerDMARC 通过指导和轻松实施 DMARC、SPF 和 DKIM 协议,帮助您满足 PCI DSS 第 4 版合规性要求。
- 全面报告和监测:PowerDMARC 提供详细、实时的报告和监控功能,使您能够审核电子邮件渠道,并保持循证合规性。
- 简化合规管理:借助自动化流程和易于浏览的仪表板,PowerDMARC 可帮助您有效管理和记录 PCI DSS 合规性工作,从而节省时间和资源。
DMARC 在符合 PCI DSS 要求的电子邮件安全中的作用
PCI SSC认识到DMARC作为电子邮件验证最佳实践的重要性,并建议实施DMARC以加强安全措施。
根据 PCI DSS DMARC 指南,企业可以强化其电子邮件基础架构,防范域名欺骗攻击。在即将发布的 PCI DSS 4.0 版中,处理、存储或传输银行卡数据的企业必须实施 PCI DSS DMARC。
到2025年3月,企业必须确保PCI DSS DMARC与SPF(发件人策略框架)和DKIM(域键识别邮件)等补充措施同时实施,以建立全面的电子邮件验证方法。
什么是 SPF、DKIM 和 DMARC?
SPF、DKIM 和 DMARC 是电子邮件验证协议,有助于保护您的域名和电子邮件免受欺骗、网络钓鱼和假冒攻击。这些协议有助于区分从您的域名发送的合法电子邮件和假冒电子邮件,确保未经授权的来源无法以您的名义发起网络钓鱼攻击。
相关阅读什么是电子邮件验证?
这些协议的作用
SPF 为您的域名授权合法发件人,确保未经授权的来源无法代表您的域名发送电子邮件。DKIM 为您的外发邮件添加数字签名,防止邮件在到达目的地前被威胁方篡改。
DMARC 是将这两者结合在一起的粘合剂,使发件人能够指示接收服务器如何处理 SPF 和/或 DKIM 验证检查失败的电子邮件。有了 DMARC,发送方可以选择拒绝、隔离或发送验证失败的电子邮件。
要有效防范同域欺骗攻击,组织必须制定 DMARC 政策政策。
满足业务需求和客户保护
银行卡数据处理商的强制合规性
对于处理、存储或传输任何形式的银行卡数据的企业而言,遵守PCI DSS标准是必要的。
实施DMARC对于确保全面的电子邮件验证以及防范电子邮件欺骗和网络钓鱼攻击至关重要。
DMARC执行与客户安全之间的差距
在DMARC执行方面存在巨大差距,许多组织需要全面实施DMARC或达到执行水平。
这给客户带来了风险,凸显了缩小这一差距以加强客户保护和安全的重要性。
DMARC对品牌保护和消费者信任的重要性
有效的DMARC实施有助于保护品牌免受欺骗者和不良行为者的侵害,维护品牌声誉并建立客户信任。
通过优先执行DMARC,企业证明了他们对保护客户信息和促进安全支付体验的承诺。
总结
PCI DSS是保护支付交易的重要框架,即将发布的PCI DSS 4.0版本强调了DMARC的强制实施。
各行业组织必须积极采用 DMARC 和补充协议,如 SPF 和 DKIM以加强电子邮件验证,防范同域欺骗攻击。
通过尽早实施DMARC,企业可以提高其品牌声誉,建立客户信任,并降低基于电子邮件的攻击风险。优先考虑支付安全和DMARC的实施将创建一个更安全、更有保障的数字支付环境。
PCI DSS V4.0 常见问题
哪项PCI安全要求与银行客户数据的物理保护有关?
在该标准中,有一项重要的 PCI 安全要求与银行客户数据的物理保护有关。这项要求的重点是确保采取适当措施,确保对存储或处理客户数据的区域进行物理访问。银行可以通过遵守这一要求有效保护客户信息,防止未经授权的物理访问。
为什么v4.0版本的要求被称为未来版本?
PCI SSC已经宣布v4.0的新要求是未来的,因为他们将在旧版DSS退役后为企业提供额外一年(2024年后)的时间来遵守合规要求。
未来对PCI DSS合规性的其他要求是什么?
符合v4.0的其他未来要求如下:
- 优先加密、更新安全密钥并确保证书有效且未过期
- 监控数据存储设备和笔式驱动器等可移动媒体
- 优先考虑网络和应用安全
- 优先考虑密码安全
- 定期用户访问审查
- 增强型网络钓鱼攻击中借口式诈骗的兴起- 2025 年 1 月 15 日
- 2025 年起支付卡行业将强制执行 DMARC- 2025 年 1 月 12 日
- 国家计算机安全委员会邮件检查变化及其对英国公共部门电子邮件安全的影响- 2025 年 1 月 11 日