PCI DSS 4.0.1
платежные страницы
скриптовые атаки
QSA
пилот за 2–3 недели
1. Сначала картина
Начните с разбора, что реально изменилось после PCI DSS 4.0.1, чтобы не строить решение на упрощенных трактовках.
2. Потом архитектурный риск
Разберите, почему встроенная форма оплаты не снимает весь риск на стороне клиента, даже если данные карты уходят провайдеру.
3. Затем пакет действий
Переходите к практическим материалам по инвентаризации, мониторингу и доказательствам для QSA.
После PCI DSS 4.0.1 рынок часто сводит разговор к вопросу «нужно ли закрывать 6.4.3 и 11.6.1». На практике вопрос другой: кто контролирует платежную страницу в браузере клиента, как обнаруживаются изменения и чем команда сможет это доказать на аудите.
• С 31 марта 2025 года требования 6.4.3 и 11.6.1 стали фактически рабочей реальностью для электронной коммерции.
• Из SAQ A убрали сами пункты 6.4.3 и 11.6.1, но добавили критерий про защиту сайта от скриптовых атак.
• Для встроенных форм оплаты тема осталась актуальной: PCI SSC отдельно выпустил разъяснения по платежным страницам и электронному скиммингу.
Почему этот материал первый
Он дает общую рамку: что поменялось в отчетности, что осталось в модели рисков и почему тема платежных страниц не сводится к одной формальной галочке.
6 мин
02
PCI DSS 4.0.1
Обзор ключевых изменений PCI DSS 4.0.1 для онлайн-бизнеса: сроки, новые акценты, влияние на платежные страницы и подготовка к аудиту.
Читать статью03
PCI DSS 6.4.3
Практическое руководство по PCI DSS 6.4.3: инвентаризация, авторизация, обоснование и контроль целостности JavaScript на checkout.
Читать статью04
PCI DSS 11.6.1
Как обнаруживать неавторизованные изменения HTML, JS, заголовков и ресурсов платёжной страницы в браузере пользователя.
Читать статью05
Cartelta JSIR / PCI DSS
Как онлайн-ритейл внедряет контроль клиентских скриптов по PCI DSS 6.4.3 и 11.6.1 с помощью Cartelta JSIR.
Читать статью06
Защита на стороне клиента
Встроенная форма оплаты может менять логику SAQ, но не делает страницу сайта автоматически безопасной.
Читать статью07
Подготовка к аудиту
Хороший пакет доказательств нужен не для красоты. Он сокращает путь от пилота к решению команды ИБ и к разговору с QSA-аудитором.
Читать статью08
Внедрение
Большинство провалов здесь не про отсутствие инструмента, а про неправильную постановку задачи.
Читать статью09
Стратегия пилота
Хороший пилот должен не доказывать красивую архитектуру, а быстро показать контур, реальные изменения и понятный следующий шаг.
Читать статьюРекомендуем начать отсюда
Для кого эти материалы
Для руководителей ИБ, прикладной безопасности, команд электронной коммерции и тех, кто готовит первый пилот по защите платежной страницы.
Если нужно, чтобы блог открывал предметный диалог с командой ИБ и аудиторами, а не просто собирал трафик, этот формат как раз для этого.
Cartelta JSIR
© 2026 Cartelta. Все права защищены.
Направить запрос