PCI DSS 4.0.1: что изменилось и как это влияет на онлайн-бизнес
4.0.1 — это патч-релиз к PCI DSS 4.0: уточняет формулировки, примечания и глоссарий, но не добавляет новых технических контролей. Для e-commerce это прежде всего про клиентскую безопасность (6.4.3 и 11.6.1) и про доказуемость процессов на аудите.
4.0.1
Clarifications
Client-Side
MFA/8.x
Logs/12m
Патч-релиз с уточнениями. Акцент на клиентской безопасности и доказательствах на аудите.
Что это значит для бизнеса
- Требования 6.4.3 и 11.6.1 в 2025 году — фактически «зона аудита №1» для e-commerce.
- От вас ждут не только процессов, но и воспроизводимых доказательств: инвентари, SRI/CSP-политики, логи «эталон ↔ текущая страница», алерты и порядок реагирования.
- Для льгот по MDR и отсутствия санкций от эквайера критично показать зрелость мониторинга клиентской стороны.
Ключевые уточнения PCI DSS 4.0.1
| Блок | Что уточнено в 4.0.1 | Зачем бизнесу |
|---|---|---|
| Client-side безопасность | 4.0.1 — это патч-релиз к 4.0: уточнены формулировки и примечания к требованиям 6.4.3 (управление скриптами) и 11.6.1 (обнаружение изменений), даны более чёткие ожидания к инвентаризации, контролю целостности и периодичности проверок. | Сводит к минимуму риск web-скимминга и подмены JS на платёжной странице; упрощает аудит и подготовку артефактов. |
| Аутентификация и доступ | Прояснены замечания по требованиям 8.x (MFA/идентификация): где нужна MFA, как трактовать доступ к CDE(среде обработки карточных данных) и админ-функциям; приведены более точные примеры допустимых методов. | Снижает риск учетных записей и «слабых звеньев» при администрировании и интеграциях. |
| Пароли и политика учётных записей | Подтверждены современные практики: минимум 12 символов, отказ от календарной ротации без признаков компрометации, проверка на утечки и повторные пароли. | Баланс удобства и стойкости: меньше труднойстей для пользователей, выше фактическая безопасность. |
| Логи и мониторинг | Уточнения по полноте, целостности и времени хранения (обычно ≥ 12 месяцев), требование синхронизации времени и удобства реконструкции инцидентов. | Готовность к расследованиям и независимой проверке; меньше «белых пятен» в цепочке событий. |
| Customized Approach | Чётче описаны ожидания к метрикам эффективности и доказательствам при настраиваемом подходе (эквивалентность контролей вместо буквального соответствия). | Даёт гибкость DevOps-командам и финтех-продуктам без снижения измеряемой безопасности. |
Полный перечень правок — в официальном документе «Summary of Changes v4.0 → v4.0.1» на pcisecuritystandards.org.
Связанные требования, на которые стоит обратить внимание
6.4.3 — контроль скриптов
- Реестр всех скриптов (включая GTM/виджеты), владелец и обоснование.
- Контроль целостности (SRI/подписи) и/или CSP; регулярный пересмотр.
- Автоматизация инвентаризации — предпочтительно.
11.6.1 — обнаружение изменений
- Сверка страницы «как у клиента» (HTML/JS/заголовки) с эталоном.
- Частота: не реже еженедельно; чаще — по результатам TAR или обоснованном периоде.
- Срабатывания(alerts), реагирование, артефакты для аудита.
План действий (e-commerce, 30–60 дней)
- Проведите экспресс GAP-анализ «4.0 → 4.0.1»: обновите политики/процедуры и артефакты.
- Формализуйте 6.4.3: полный инвентарь скриптов, владельцы, SRI/CSP и периодический пересмотр.
- Настройте 11.6.1: сравнение «эталон ↔ текущая страница», алерты, регламент реакции, хранение логов (≥ 12 мес.).
- Проверьте MFA/8.x и управление доступом интеграций (боты, сервис-аккаунты, токены).
- Обновите TAR: частоты проверок, сценарии усиления, покрытие real-user сценариев.
Как Cartelta JSIR ускоряет соответствие
| Задача | Требование | Функция JSIR |
|---|---|---|
| Инвентаризация скриптов | 6.4.3 | Авто-каталог и дашборд (DOM + GTM/виджеты) |
| Целостность/подписи | 6.4.3 | Dynamic SRI (CI/CD-интеграция) |
| Обнаружение изменений | 11.6.1 | Сравнение «эталон ↔ текущая страница», алерты |
| Отчёты для аудита | 4.0.1 | Выгрузки артефактов, журнал срабатываний |
| Интеграция в SOC/SIEM | 10.x | Webhooks → SIEM |
Чем раньше автоматизировать клиентские проверки, тем меньше рисков инцидента и frictions на аудите.
Продукты
© 2025 Cartelta. Все права защищены.
Свяжитесь с нами