Контроль клиентских скриптов по PCI DSS 6.4.3 для российского онлайн-ритейла

Почему нарушение 6.4.3 бьёт по бизнесу особенно больно

Российские эквайеры включили п. 6.4.3 в чек-листы технологических рисков. Если платёжная страница не контролирует загружаемые скрипты, тариф MDR могут повысить, а в крайнем случае — приостановить приём карт.

Срыв защиты ведёт к утечке персональных данных: комбинация ФИО и номера карты подпадает под 152-ФЗ и 161-ФЗ. На уведомление Роскомнадзора даётся 24 часа, а штрафы достигают миллионов рублей.

Интеграция маркетплейсов, сторонних виджетов оплаты порождает десятки внешних сценариев. Ручная ревизия «какой скрипт загрузился» становится нереальной.

Подробности стандарта в официальной документации PCI SSC.

Что обычно спрашивают CISO о 6.4.3

Минимальный чек-лист для ответственных за PCI DSS в РФ

Инвентаризируйте все точки загрузки JavaScript (HTML, шаблоны, tag-manager).
Для каждого скрипта фиксируйте бизнес-обоснование, владельца и дату пересмотра.
Внедрите автоматическую вставку SRI-подписи при деплое (CI-hook).
Разверните client-side-мониторинг с частотой ≤ 60 минут (cloud или on-prem).
Интегрируйте алерты в SOC или SIEM.
Храните логи минимум 12 месяцев — требование PCI DSS и ст. 18.1 152-ФЗ.

Развеем популярные мифы

Что получает бизнес

Риски штрафов карт-схем и РКН снижаются практически до нуля. Отсутствие необходимости внедрения дополнительной логики для клиентской стороны разгружает продуктовую команду. Использование решения Cartelta JSIR дает уверенность в безопасности платежных страниц. Покрытие решением пунктов 11.6.1 и 6.4.3 стандарта PCI DSS снимает с клиента необходимость создания компенсирующих мер для полноценного соответствия требованиям. Прохождение аудита PCI DSS пройдет быстрее путем демонстрации работы необходимой функциональности.