Автокаталог скриптов, динамический контроль целостности, обнаружение изменений «как у клиента» и отчётность для аудита PCI DSS 6.4.3 и 11.6.1.
Легкая интеграция
Отслеживание клиентской сесии
Webhooks → SOC/SIEM
Автокаталог DOM-скриптов и сторонних источников (GTM/виджеты) с владельцами и обоснованием — как требует 6.4.3.
Поддержка хэшей/подписей через CI/CD. Предотвращает подмену файлов и обеспечивает контроль целостности.
Сверка HTML/JS и HTTP-заголовков «как у клиента» с эталоном. Алерты, хранение событий и доказательств.
Экспорт инвентаря, журналов реагирования и сравнений «эталон ↔ текущая страница». Готовые артефакты для QSA.
Покрытие клиентских угроз
Скимминг, formjacking(внедрение в формы), инъекции 3rd-party и подмена заголовков — фиксируем именно то, что получил браузер клиента.
Низкий оверхед
Сенсоры и краулеры оптимизированы: минимальное влияние на метрики и предсказуемая стоимость владения.
Интеграция в SOC/SIEM
Готовые вебхуки и экспорт журналов для SIEM. Быстрые алерты и воспроизводимые артефакты.
| Задача | Требование | Функции JSIR |
|---|---|---|
| Реестр скриптов и владельцев | 6.4.3 (a) | Автокаталог DOM, роли и обоснования |
| Контроль целостности | 6.4.3 (b) | Dynamic SRI / подписи, интеграция с CI/CD |
| Сверка «как у клиента» | 11.6.1 | Сравнение HTML/JS/заголовков с эталоном |
| Оповещения и реагирование | 11.6.1 | Real-time алерты, интеграция с SIEM/SOC |
| Артефакты для аудита | 4.0.1 | Экспорт сравнений, журналов и инвентаря |
В марте 2024 года Совет по стандартам безопасности индустрии платёжных карт (PCI SSC) выпустил версию 4.0.1 стандарта PCI DSS, вводя значительные изменения, направленные на усиление безопасности данных держателей карт. Основные изменения включают:
В разделе 6.4.3 стандарт признает потенциальную опасность, связанную со скриптами на стороне клиента, особо подчеркивая, что «скрипты, загружаемые и выполняемые на странице оплаты, могут подвергаться изменениям в своей функциональности без ведома организации, а также могут включать внешние скрипты».
11.6.1 подчеркивает важность внедрения систем обнаружения изменений и несанкционированного доступа на платежных страницах. Эти системы служат для уведомления уполномоченного персонала о любых несанкционированных модификациях.
Эти изменения подчёркивают необходимость постоянного управления рисками и адаптации к новым угрозам в сфере безопасности платёжных данных. Начать подготовку к внедрению мер, описанных в требовании, следует как можно раньше, чтобы обеспечить своевременное соответствие стандарту PCI DSS 4.0.1.
Покажем инвентарь скриптов, динамический SRI и сравнение «эталон ↔ текущая страница» на вашем проекте.
Запросить демо© 2025 Cartelta. Все права защищены.
Свяжитесь с нами