Als Reaktion auf die explosionsartige Zunahme von weltweit gemeldeten Phishing-Angriffen wird die nächste Version der Standards für die Kreditkartenindustrie (PCI DSS v4.0) die Implementierung des DMARC-Protokolls vorschreiben, um den E-Mail-Verkehr sicherer zu machen.
Hier finden Sie alles, was Sie darüber wissen sollten.
Was ist PCI DSS und wer ist davon betroffen?
Dieses Akronym steht für eine Reihe von Sicherheitsstandards, die entwickelt wurden, um den Schutz von Informationen im Zusammenhang mit Kreditkarten zu gewährleisten. Diese Standards wurden vom Payment Card Industry Security Standards Council (PCI SSC) geschaffen. Die Organisation vereint die wichtigsten Unternehmen der Kreditkartenbranche wie Visa, MasterCard, American Express, Discover und JCB.
Das Hauptziel des PCI DSS ist es, die Sicherheit von Transaktionen mit Kreditkarten zu gewährleisten und die sensiblen Daten der Karteninhaber, wie Kartennummern, Ablaufdaten und Geheimzahl, zu schützen.
Die Einhaltung des PCI DSS ist für alle Organisationen erforderlich, die Kreditkarteninformationen verarbeiten, speichern oder weitergeben.
In seiner aktuellen Version basiert der Standard auf den folgenden Kriterien:
- Einrichtung und Verwaltung eines sicheren Netzwerks und Systems
- Schutz der Daten des Karteninhabers
- Aufrechterhaltung eines Programms zum Schwachstellenmanagement
- Umsetzung strenger Maßnahmen zur Zugangskontrolle
- Regelmäßige Überwachung und Tests der Netzwerke
- Aufrechterhaltung einer Richtlinie zur Informationssicherheit
E-Mails nicht betroffen von den Maßnahmen – bis März 2025
Wie Sie bemerkt haben, werden E-Mails in den Kriterien, die der PCI DSS-Standard in seiner aktuellen Version definiert, nicht eindeutig erwähnt. Da E-Mails jedoch der Hauptvektor für Online-Betrügereien sind, war es höchste Zeit, sie vollständig in den Mittelpunkt zu stellen und einen starken Aktionsplan zum Schutz von Händlern und ihren Kunden zu definieren.
In diesem Zusammenhang wird sich der PCI DSS-Standard bald weiterentwickeln und den Einsatz einer strengen DMARC-Richtlinie („p=reject“ oder „p=quarantine“) vorschreiben, damit Anti-Spam-Software E-Mails, die von Ihrem Domainnamen aus ohne Ihre Genehmigung verschickt werden, effektiver herausfiltern kann.
Ab März 2025 werden PCI DSS-Prüfer die korrekte Konfiguration der Protokolle SPF, DKIM und DMARC bei ihren Audits berücksichtigen.
Die Experten von Nameshield stehen Ihnen gerne zur Verfügung, um Sie bei der Einführung dieses Protokolls zu unterstützen.
Bildnachweis: pixabay/storyset.com/nameshield