Решение JSIR обеспечивает соответствие требованиям 6.4.3 и 11.6.1: автоматическая инвентаризация скриптов с назначением ответственных, динамический контроль целостности, обнаружение изменений страницы на стороне конечного пользователя и формирование артефактов для аудита.
Интеграция без сложных доработок
Контроль реальных сессий
Webhooks → SOC/SIEM
Автокаталог DOM-скриптов и сторонних источников (GTM/виджеты) с владельцами, обоснованием и SLA — как требует 6.4.3.
Поддержка Dynamic SRI: формирование хешей и цифровых подписей для статических ресурсов. Механизм снижает риск подмены и обеспечивает контроль целостности при доставке контента.
Сравнение HTML/JS и HTTP-заголовков на стороне конечного пользователя с эталоном, фиксация расхождений и формирование уведомлений.
Экспорт инвентаря, журналов изменений и результатов проверок. Формируются готовые артефакты для QSA и внутреннего аудита.
Покрытие клиентских угроз
Web-скимминг, formjacking и инъекции сторонних скриптов фиксируются в том виде, как страницу получает браузер клиента.
Низкая нагрузка
Сенсоры и краулеры оптимизированы: минимальное влияние на конверсию и прогнозируемая стоимость владения.
Интеграция в SOC/SIEM
Готовые вебхуки и экспорт журналов в SIEM: уведомления уходят в SOC, а воспроизводимые артефакты упрощают разбор.
| Задача | Требование | Функции JSIR |
|---|---|---|
| Реестр скриптов и владельцев | 6.4.3 (a) | Автокаталог DOM + GTM/виджетов, роли и обоснования |
| Контроль целостности | 6.4.3 (b) | Dynamic SRI/подписи через CI/CD, контроль CDN |
| Сравнение на стороне конечного пользователя | 11.6.1 | Сравнение HTML/JS/заголовков с эталоном в браузере |
| Оповещение и реагирование | 11.6.1 | Оперативные уведомления, вебхуки (webhooks) в SIEM/SOC, регламент реагирования |
| Артефакты для аудита | 4.0.1 | Экспорт сравнений, инвентаря и журналов для QSA/эквайера |
В марте 2024 года Совет по стандартам безопасности индустрии платёжных карт (PCI SSC) выпустил версию 4.0.1 стандарта PCI DSS, вводя значительные изменения, направленные на усиление безопасности данных держателей карт. Основные изменения включают:
В разделе 6.4.3 стандарт признает потенциальную опасность, связанную со скриптами на клиентской стороне (client-side), особо подчеркивая, что «скрипты, загружаемые и выполняемые на странице оплаты, могут подвергаться изменениям в своей функциональности без ведома организации, а также могут включать внешние скрипты».
11.6.1 подчеркивает важность внедрения систем обнаружения изменений и несанкционированного доступа на платежных страницах. Эти системы служат для уведомления уполномоченного персонала о любых несанкционированных модификациях.
Указанные изменения подчёркивают необходимость постоянного управления рисками и адаптации к новым угрозам в сфере безопасности платёжных данных. Своевременная подготовка к внедрению мер, описанных в требованиях 6.4.3 и 11.6.1, обеспечивает соответствие стандарту PCI DSS 4.0.1.
Демонстрация инвентаря скриптов, динамического SRI (Dynamic SRI) и механизма сравнения «эталон ↔ текущая страница» на инфраструктуре заказчика.
Направить запрос на демонстрацию© 2025 Cartelta. Все права защищены.
Направить запрос