Контроль клиентских скриптов по PCI DSS 6.4.3 для российского онлайн-ритейла

Почему несоответствие 6.4.3 критично для бизнеса

Российскими эквайерами пункт 6.4.3 включается в чек-листы проверок. При отсутствии контроля загружаемых скриптов на платёжной странице повышается MDR, а в отдельных случаях приём карт может быть приостановлен до устранения рисков.

Утечка данных (ФИО и номер карты (PAN)) квалифицируется по 152-ФЗ и 161-ФЗ: срок уведомления Роскомнадзора составляет 24 часа, расходы на расследование и штрафы несёт организация.

Интеграция с маркетплейсами, BNPL-сервисами, виджетами чатов и аналитики приводит к загрузке десятков внешних скриптов. Ручная ревизия становится невозможной — необходимы автоматизированная инвентаризация и контроль целостности.

Подробности стандарта в официальной документации PCI SSC.

Типичные вопросы CISO по требованию 6.4.3

Минимальный чек-лист для ответственных за PCI DSS в РФ

Инвентаризация всех точек загрузки JavaScript (HTML, шаблоны, tag-manager).
Фиксация бизнес-обоснования, владельца и даты пересмотра для каждого скрипта.
Внедрение автоматической вставки SRI-подписи при развёртывании (CI-hook).
Развёртывание мониторинга клиентской стороны (client-side) с частотой ≤ 60 минут (cloud или on-prem).
Интеграция уведомлений в SOC или SIEM.
Хранение логов не менее 12 месяцев — требование PCI DSS и ст. 18.1 152-ФЗ.

Распространённые заблуждения

Что получает бизнес

Обеспечивается снижение рисков штрафов со стороны платёжных систем и Роскомнадзора, исключается необходимость выделения ресурсов на временные обходные решения. Cartelta JSIR обеспечивает выполнение требований 6.4.3 и 11.6.1 без компенсирующих мер, формирует прозрачные артефакты для QSA-аудитора и сокращает время прохождения аудита.