Passer au contenu principal
L'industrie des cartes de paiement recommande DMARC, DKIM et SPF

L'industrie des cartes de paiement recommande DMARC, DKIM et SPF

9 janvier 2026
Actualités de l'écosystème

À mesure que la technologie évolue, les méthodes de cyberattaques évoluent également, posant des menaces importantes pour les organisations, en particulier celles du secteur financier. Et comme la majorité des gens effectuent leurs paiements par carte de crédit ou de débit, le Payment Card Industry Security Standards Council (PCI SSC) a réalisé qu'il était temps de renforcer la surface d'attaque du vaste écosystème des paiements numériques.

Dans cette vidéo, Tim Draegen, auteur principal de DMARC et fondateur/directeur technique de dmarcian, explique comment DMARC peut aider votre organisation à respecter les exigences PCI DSS.

Dans le cadre de l'amélioration de ses normes de cybersécurité, PCI recommande DMARC, SPF et DKIM dans la section 5.4.1 de la norme PCI Data Security Standard (DSS) v. 4.0.1.

Lors de l'élaboration de contrôles anti-hameçonnage, les entités sont encouragées à envisager une combinaison d'approches. Par exemple, l'utilisation de contrôles anti-spoofing tels que Domain-based Message Authentication, Reporting & Conformance(DMARC), Sender Policy Framework(SPF) et Domain Keys Identified Mail(DKIM) contribuera à empêcher les hameçonneurs d'usurper le domaine de l'entité et de se faire passer pour des membres du personnel.

-CI DSS v. 4.0.1

L'exigence relative aux mécanismes anti-hameçonnage est passée du statut de bonne pratique à celui d'exigence obligatoire le 31 mars 2025 ; les protocoles DMARC/SPF/DKIM restent fortement recommandés à titre d'exemple de contrôles. Le DSS recommande que « les contrôles anti-hameçonnage soient appliqués à l'ensemble de l'organisation d'une entité ».

Les normes PCI se concentrent sur la sécurité mondiale des données relatives aux comptes de paiement et développent des services d'assistance qui favorisent la formation, la sensibilisation et la mise en œuvre par les parties prenantes. Leurs recommandations DMARC sont importantes pour protéger les données sensibles des cartes de paiement et protéger les consommateurs contre les fraudes et les usurpations d'identité potentielles.

Protection DMARC pour les services financiers d'

Avec l'omniprésence des services bancaires en ligne et des paiements numériques, le secteur des services financiers est devenu une cible de choix pour les cybercriminels.

Qui est concerné ?

La « recommandation » DMARC figurant dans la section 5.4.1 de la norme PCI DSS v. 4.0.1 concerne toute organisation qui doit se conformer à la norme PCI DSS et qui utilise le courrier électronique pour communiquer avec ses clients, son personnel ou ses partenaires au sujet de questions liées aux paiements. Dans la pratique, cela concerne la plupart des entreprises qui traitent ou utilisent des paiements par carte de quelque manière que ce soit.En imposant des normes d'authentification des e-mails, la norme PCI vise à réduire le risque que des cybercriminels se fassent passer pour des organisations légitimes afin de tromper les clients et les inciter à divulguer des informations sensibles.

La recommandation DMARC a des implications potentielles considérables, car les exigences PCI DSS s'appliquent également à l'environnement des données des titulaires de cartes (CDE), y compris les commerçants, les processeurs, les acquéreurs, les émetteurs et autres prestataires de services, notamment les suivants :

  • Composants du système, personnes et processus qui stockent, traitent et transmettent les données du titulaire de la carte et/ou les données d'authentification sensibles.

  • Composants système, personnes et processus susceptibles d'impacter la sécurité de l'environnement de données de carte (CDE).

  • Composants du système qui ne peuvent pas stocker, traiter ou transmettre des données relatives aux titulaires de cartes (CHD) ou des données d'authentification sensibles (SAD), mais qui disposent d'une connectivité illimitée avec des composants du système qui stockent, traitent ou transmettent des CHD/SAD. Les DAS sont des "informations liées à la sécurité utilisées pour authentifier les titulaires de cartes et/ou autoriser les transactions par carte de paiement. Ces informations comprennent les codes/valeurs de vérification de la validation de la carte, les données de suivi complet (de la bande magnétique ou de l'équivalent sur une puce), les codes PIN et les blocs de codes PIN. Il est essentiel de protéger les DAU car les criminels peuvent générer des cartes de paiement contrefaites et des transactions frauduleuses. C'est pourquoi il est interdit de stocker les DAU après le processus d'autorisation.
DMARC pour les particuliers
et les petites entreprises

Votre succès dépend de l'exploitation des ressources numériques et de leur sécurisation. Découvrez comment nous pouvons vous aider.

Avantages de DMARC

Votre mise en œuvre de DMARC offre plusieurs avantages clés aux organisations opérant dans le secteur des cartes de paiement :

  • Protection contre la fraude par courrier électronique: DMARC permet de savoir comment un domaine est utilisé et empêche les expéditeurs non autorisés d'envoyer des courriels au nom d'une organisation. Grâce à ce contrôle, les organisations établissent des protocoles d'authentification des courriels robustes, réduisant ainsi la probabilité d'un accès non autorisé et protégeant contre les menaces basées sur les courriels.

  • Fiabilité des e-mails: DMARC est la base d'une livraison fiable des e-mails et est utilisé pour résoudre les problèmes liés à la livraison des e-mails.

  • Conformité réglementaire: comme nous le constatons avec la norme PCI, les industries, les gouvernements et les organismes de réglementation exigent de plus en plus la mise en place du protocole DMARC. En se conformant à ces réglementations, les organisations démontrent leur engagement en faveur de la sécurité des données.

  • Réduction des risques financiers: la mise en œuvre du protocole DMARC permet d'atténuer les risques financiers liés aux violations de données, notamment les amendes réglementaires, les responsabilités juridiques et les atteintes à la réputation. En renforçant les mesures de sécurité des e-mails, les organisations peuvent minimiser l'impact financier potentiel des cyberattaques et des violations de données.

  • Collaboration à l'échelle du secteur: l'exigence PCI DMARC favorise la collaboration et le partage d'informations entre les organisations du secteur des cartes de paiement. En renforçant collectivement les mesures de sécurité des e-mails, les acteurs du secteur peuvent mieux lutter contre les menaces et les vulnérabilités.

Si le déploiement de DMARC représente une avancée significative en matière de cybersécurité, les entreprises doivent également donner la priorité à la surveillance et à la maintenance continues de leurs stratégies de sécurité du courrier électronique afin de faire face à l'évolution des menaces. L'évaluation régulière des politiques DMARC, l'analyse des rapports d'authentification du courrier électronique et les mesures proactives visant à remédier aux vulnérabilités sont des éléments essentiels d'un cadre efficace de sécurité du courrier électronique.

Comment dmarcian peut vous aider

Avec une équipe d'experts en sécurité de l'email et une mission de rendre l'email et l'internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à implémenter et gérer DMARC sur le long terme. Vous pouvez vous inscrire pour un essai gratuit, où notre équipe d'onboarding et de support vous aidera tout au long du chemin.

Protégez les personnes qui dépendent de votre messagerie

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

DKIMDMARCSPF

Articles connexes