PCI DSS - L'implémentation du DMARC bientôt requise pour les commerçants

En réponse à l’explosion du nombre d’attaques de phishing recensées dans le monde, la prochaine version des normes de l’industrie des cartes de paiement (PCI DSS v4.0) va imposer le déploiement du protocole DMARC dans le but de sécuriser les échanges par mail.

Voici tout ce que vous devez savoir à ce sujet.

Qu’est-ce que la PCI DSS et qui est concerné ?

Cet acronyme désigne un ensemble de normes de sécurité élaborées pour garantir la protection des informations liées aux cartes de paiement. Ces normes ont été créées par le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC), une organisation regroupant les principales entreprises du secteur des cartes de paiement, telles que Visa, MasterCard, American Express, Discover et JCB.

L’objectif principal de la PCI DSS est de sécuriser les transactions par carte de paiement et de protéger les données sensibles des porteurs de cartes, telles que les numéros de carte, les dates d’expiration et les codes de sécurité.

La conformité à la PCI DSS est requise pour toutes les organisations qui traitent, stockent ou transmettent des informations relatives aux cartes de paiement.

Dans sa version actuelle, la norme repose sur les critères suivants :

Création et gestion d’un réseau et d’un système sécurisé
Protection des données du titulaire
Maintien d’un programme de gestion des vulnérabilités
Mise en œuvre de mesures de contrôle d’accès strictes
Surveillance et tests réguliers des réseaux
Maintien d’une politique de sécurité des informations

L’email, grand absent de cette norme… Jusqu’en mars 2025

Comme vous pouvez le constater, la messagerie n’est pas clairement mentionnée dans les critères définis par la norme PCI DSS dans sa version actuelle. Or, le mail étant le premier vecteur d’arnaques en ligne, il était grand temps de l’intégrer pleinement au centre des débats et de définir un plan d’action fort afin de protéger les commerçants et leurs clients.

Dans ce contexte, la norme PCI DSS va bientôt évoluer et imposer le déploiement d’une politique DMARC stricte (“p=reject” ou “p=quarantine”) afin de permettre aux anti-spams de filtrer plus efficacement les mails émis depuis votre nom de domaine sans votre autorisation.

A compter de mars 2025, les contrôleurs de la PCI DSS prendront en compte la bonne configuration des protocoles SPF, DKIM et DMARC lors des audits.

Les experts de Nameshield se tiennent à votre disposition pour vous accompagner dans le déploiement de ce protocole.

Crédit image : pixabay/storyset.com/nameshield

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description

Qu’est-ce que la PCI DSS et qui est concerné ?

L’email, grand absent de cette norme… Jusqu’en mars 2025

Nameshield utilise des cookies