Достаточно ли только CSP?

CSP — важный слой, но сам по себе не даёт инвентаря и не решает авторизацию. 6.4.3 требует совокупности: инвентарь, авторизация и техническая целостность.

Можно ли делать инвентарь вручную?

Ручные списки быстро устаревают и не покрывают GTM/динамические вставки. Рекомендуется автоматизированный сбор из реального DOM.

Cartelta

Личный кабинет Направить запрос

PCI DSS 6.4.3: контроль скриптов платёжной страницы

Три ключевых компонента требования 6.4.3 — инвентаризация, авторизация, целостность. В данном руководстве рассматриваются практические шаги реализации, проверки аудитора и типичные ошибки при внедрении.

Инвентарь

Авторизация

Целостность

CSP

SRI

Запросить мини-аудит по требованию 6.4.3

Скачать чек-лист (PDF)

Панель мониторинга контроля скриптов Cartelta JSIR

Контроль исполняемых скриптов в браузере: обнаружение новых и изменённых скриптов, уведомления и формирование отчётности для аудита — в рамках единой платформы.

Что именно требует PCI DSS 6.4.3?

Компонент	Требование	Детали
Инвентаризация скриптов	Вести актуальный реестр всех скриптов платёжной страницы, включая GTM, чаты, BNPL-виджеты и динамические вставки.	Для каждого — назначение, владелец, среда (prod/stage), источник (1st/3rd), дата ревью, статус (разрешён/запрещён).
Авторизация скриптов	Каждый исполняемый скрипт должен быть одобрен уполномоченным лицом и иметь бизнес-обоснование. Изменения проходят через формальный процесс (RFC/Jira).	Аудитором проверяются: наличие политик, записей ревью, подтверждений одобрения и журнала изменений.
Обеспечение целостности	Должен существовать технический контроль подлинности/целостности (например, SRI, строгий CSP, подпись, иное средство), который предотвращает несанкционированные модификации.	Контроль должен обеспечивать блокирование или сигнализирование о несоответствии и являться частью CI/CD-процесса.

Важно: для выполнения требования 6.4.3 применения только CSP недостаточно. Необходима совокупность мер — инвентаризация, авторизация и контроль целостности. В противном случае требование не считается выполненным.

Почему это важно

Клиентские атаки (client-side attacks): веб-скимминг (web skimming), атаки типа Magecart, внедрение в формы (formjacking) — перехват данных происходит до их поступления на сервер. WAF и FIM не обнаруживают подобные угрозы, а последствия включают рост MDR, требования эквайера и уведомление регуляторов. В связи с этим требование 6.4.3 предусматривает авторизацию и контроль целостности именно клиентских скриптов.

Сравнение легитимного и изменённого JS на платёжной странице

Как правильно внедрить контроль скриптов

1) Автокаталогизация

Сканирование реального DOM страниц с учётом GTM, виджетов и динамических вставок.

Ведение единого реестра: владелец, назначение, среда, SRI/подпись, дата ревью, статус.

2) Целостность в CI/CD

Автоматическая генерация SRI-хэшей при сборке; несоответствие блокирует развёртывание (quality-gate).
Поддержание подписей и хэшей для собственных (1st-party) и сторонних (3rd-party) скриптов, документирование процедуры обновления.

3) CSP (по этапам)

Запуск в режиме report-only, сбор отчётов, добавление исключений для легитимных сценариев.
Переход в режим enforce (блокирование) после тестирования; контроль источников через script-src, hash.

Что будет проверять аудитор

Артефакты

Реестр скриптов с владельцами и статусами.
Политика/процедура авторизации, следы одобрений (RFC/Jira).

Доказательства работы контроля целостности (логи SRI/CSP, quality-gate).

Интервью/наблюдение

Порядок добавления нового скрипта. Процедура одобрения и периодичность ревью.
Процедура обновления и отзыва SRI-хэшей. Порядок действий при обнаружении несоответствия.
Процесс отладки CSP и управления исключениями для сохранения функциональности.

Практические рекомендации

Регулярный пересмотр реестра и владельцев скриптов (не реже одного раза в месяц).
Автоматизация сбора инвентаря: сканирование реального DOM.
Внедрение quality-gate в CI/CD: остановка развёртывания при рассинхронизации SRI.

Поэтапное внедрение CSP: report-only → тестирование → enforce с точечными исключениями.

Подготовка артефактов для аудита: выгрузки инвентаря, выписки уведомлений, политики.

Делайте / не делайте

Делайте

Инвентарь из реального DOM

SRI и подпись обновляются в CI

CSP: report-only → enforce с исключениями

Формализованный процесс добавления/удаления скриптов

Не делайте

Скрипт-инвентарь вручную в Excel

Однократное задание хэша без обновления

Невыборочная CSP-политика 'self'

Анонимные правки в Tag Manager

Как Cartelta JSIR упрощает выполнение 6.4.3

Автоматическая каталогизация: актуальный реестр скриптов с указанием владельцев и статуса (prod/stage).
Динамический SRI (Dynamic SRI): автоматическая генерация и проверка хэшей, quality-gate в CI/CD.
Наблюдение в реальном времени (Real-time Watcher): регистрация событий о новых и изменённых скриптах на основе реальных сессий.
Экспорт отчётов (PDF/CSV), в том числе с использованием webhook для импорта в SIEM.

FAQ по 6.4.3

Требование 6.4.3 предусматривает именно контроль целостности и подлинности. CSP способствует ограничению источников, но не заменяет SRI/подписи — рекомендуется применение многоуровневого подхода.

Нет. Инвентаризация и контроль целостности требуют постоянного мониторинга. Для требования 11.6.1 (обнаружение изменений) — не реже одного раза в неделю, при повышенном уровне риска — чаще.

Направить запрос

Написать sales@cartelta.ru