L'industrie des cartes de paiement exige DMARC en 2025
La technologie continue d'évoluer, tout comme les méthodes de cyberattaque, ce qui représente une menace importante pour les organisations, en particulier celles du secteur financier. La majorité des gens effectuant des paiements par carte de crédit ou de débit, l'industrie des cartes de paiement (PCI) a compris qu'il était temps de renforcer la surface d'attaque du vaste écosystème des paiements numériques.
Dans le cadre de l'évolution de ses normes de cybersécurité, PCI mettra en œuvre une exigenceDMARC, comme indiqué dans la section 5.4.1 de PCI DSS v. 4.0.1, qui a été publiée en juin 2024. DMARC est une meilleure pratique jusqu'au 31 mars 2025, date à laquelle il deviendra obligatoire et nécessaire de le prendre en compte lors d'une évaluation PCI DSS. En outre, la norme DSS recommande que "les contrôles anti-phishing soient appliqués à l'ensemble de l'organisation d'une entité".
DMARC, un contrôle conçu pour authentifier les courriels et empêcher l'usurpation d'adresse, le phishing et d'autres activités malveillantes, est devenu la pierre angulaire des stratégies de sécurité du courrier électronique dans le monde entier. La décision de la PCI d'appliquer DMARC souligne l'importance cruciale de la sécurité du courrier électronique dans la prévention des violations de données et la préservation de la confiance des consommateurs.
Le PCI Security Standards Council (SSC) concentre ses normes sur la sécurité des données des comptes de paiement à l'échelle mondiale et développe des services de soutien qui favorisent l'éducation, la sensibilisation et la mise en œuvre par les parties prenantes. Le mandat DMARC est important pour la sauvegarde des données sensibles des cartes de paiement et la protection des consommateurs contre la fraude et l'usurpation d'identité.
Votre succès dépend de l'exploitation des ressources numériques et de leur sécurisation. Découvrez comment nous pouvons vous aider.
Qui est concerné ?
Avec l'exigence DMARC de la norme PCI DSS v. 4.0.1 section 5.4.1, toutes les organisations, y compris les commerçants, doivent mettre en œuvre DMARC pour leurs domaines afin de vérifier l'authenticité des courriels envoyés au nom de leurs marques. En appliquant des normes d'authentification des courriels, PCI vise à réduire le risque que des cybercriminels se fassent passer pour des organisations légitimes afin de tromper les clients et de leur faire divulguer des informations sensibles.
Le mandat DMARC peut avoir des implications considérables, car les exigences de la norme PCI DSS s'appliquent à l'environnement des données des titulaires de cartes (CDE), y compris les commerçants, les entreprises de traitement, les acquéreurs, les émetteurs et d'autres fournisseurs de services, dont les suivants :
- Composants du système, personnes et processus qui stockent, traitent et transmettent les données du titulaire de la carte et/ou les données d'authentification sensibles.
- Les composants du système, les personnes et les processus qui pourraient avoir un impact sur la sécurité du CDE.
- Composants du système qui ne peuvent pas stocker, traiter ou transmettre des données relatives aux titulaires de cartes (CHD) ou des données d'authentification sensibles (SAD), mais qui disposent d'une connectivité illimitée avec des composants du système qui stockent, traitent ou transmettent des CHD/SAD. Les DAS sont des "informations liées à la sécurité utilisées pour authentifier les titulaires de cartes et/ou autoriser les transactions par carte de paiement. Ces informations comprennent les codes/valeurs de vérification de la validation de la carte, les données de suivi complet (de la bande magnétique ou de l'équivalent sur une puce), les codes PIN et les blocs de codes PIN. Il est essentiel de protéger les DAU car les criminels peuvent générer des cartes de paiement contrefaites et des transactions frauduleuses. C'est pourquoi il est interdit de stocker les DAU après le processus d'autorisation.
Avec l'omniprésence des services bancaires en ligne et des paiements numériques, le secteur des services financiers est devenu une cible de choix pour les cybercriminels.
Avantages de DMARC
Votre mise en œuvre de DMARC offre plusieurs avantages clés aux organisations opérant dans le secteur des cartes de paiement :
- Protection contre la fraude par courrier électronique: DMARC permet de savoir comment un domaine est utilisé et empêche les expéditeurs non autorisés d'envoyer des courriels au nom d'une organisation. Grâce à ce contrôle, les organisations établissent des protocoles d'authentification des courriels robustes, réduisant ainsi la probabilité d'un accès non autorisé et protégeant contre les menaces basées sur les courriels.
- Fiabilité du courrier électronique: DMARC est le fondement d'une distribution fiable du courrier électronique et constitue souvent la première mesure prise pour résoudre les problèmes de distribution du courrier électronique.
- Conformité réglementaire: À l'instar de la norme PCI, les industries, les gouvernements et les organismes de réglementation exigent de plus en plus la mise en place de DMARC. En adhérant à ces réglementations, les organisations démontrent leur engagement en matière de sécurité des données.
- Réduction des risques financiers: La mise en œuvre de DMARC peut contribuer à atténuer les risques financiers associés aux violations de données, notamment les amendes réglementaires, les responsabilités juridiques et les atteintes à la réputation. En renforçant les mesures de sécurité du courrier électronique, les entreprises peuvent minimiser l'impact financier potentiel des cyberattaques et des violations de données.
- Collaboration à l'échelle du secteur: L'exigence PCI DMARC favorise la collaboration et le partage d'informations entre les organisations du secteur des cartes de paiement. En renforçant collectivement les mesures de sécurité du courrier électronique, les acteurs du secteur peuvent mieux lutter contre les menaces et les vulnérabilités.
Si le déploiement de DMARC représente une avancée significative en matière de cybersécurité, les entreprises doivent également donner la priorité à la surveillance et à la maintenance continues de leurs stratégies de sécurité du courrier électronique afin de faire face à l'évolution des menaces. L'évaluation régulière des politiques DMARC, l'analyse des rapports d'authentification du courrier électronique et les mesures proactives visant à remédier aux vulnérabilités sont des éléments essentiels d'un cadre efficace de sécurité du courrier électronique.
Déploiement de DMARC : le plus tôt est le mieux
Bien que le mandat PCI n'arrive pas avant mars 2025, il n'est jamais trop tôt pour commencer votre projet DMARC et commencer à protéger vos domaines pour qu'ils deviennent conformes au mandat PCI DMARC. En commençant plus tôt, vous aurez également le temps de faire évoluer votre politique DMARC du mode de surveillance de p=none à la politique d'application ultime de p=reject.
Un bon point de départ consiste à utiliser notre vérificateur de domaine pour obtenir un aperçu rapide de vos enregistrements DMARC, SPF et DKIM. Avec un enregistrement DMARC en place, vous aurez une visibilité sur les personnes qui envoient des e-mails au nom de vos domaines. Notre plateforme de gestion DMARC visualise les données DMARC afin que vous puissiez rapidement identifier les lacunes en matière d'authentification et l'utilisation non autorisée de vos domaines.
Comment dmarcian peut aider
Avec une équipe d'experts en sécurité de l'email et une mission de rendre l'email et l'internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à implémenter et gérer DMARC sur le long terme. Vous pouvez vous inscrire pour un essai gratuit, où notre équipe d'onboarding et de support vous aidera tout au long du chemin.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.