Коротко
• Инвентаризация без ответственного и обоснования не закрывает задачу 6.4.3.
• Мониторинг репозитория не равен мониторингу того, что реально пришло в браузер.
• Процесс реакции на оповещения о несанкционированных изменениях так же важен, как и само обнаружение.
Ошибка 1. Учитывать только свои скрипты
PCI DSS отдельно говорит про скрипты от третьих и четвертых сторон. Если команда фиксирует только собственные ресурсы, реальная карта рисков неполная уже на старте.
Ошибка 2. Считать CSP единственным ответом
CSP полезен, но сам по себе не даёт полноценной инвентаризации, письменного обоснования и обнаружения несанкционированных изменений. Это часть модели контроля, а не готовая замена всей логики программы.
Ошибка 3. Смотреть на код в git, а не на страницу в браузере
11.6.1 завязан на HTTP-заголовки и содержимое платежных страниц в том виде, в котором их получил браузер клиента. Если вы мониторите только репозиторий или CMS, можно пропустить проблемы на CDN, в менеджере тегов, на пограничном уровне доставки и во время выполнения.
Ошибка 4. Не иметь ответственного за каждый скрипт
Без ответственного любая инвентаризация превращается в список URL. Аудитору и команде информационной безопасности нужен понятный ответ: кто заказал этот скрипт, зачем он нужен бизнесу и кто согласует изменения.
Ошибка 5. Не тестировать операционный процесс
Даже хороший сигнал бесполезен, если никто не знает, что делать после оповещения. Для промышленной страницы оплаты важны регламент времени реакции, канал уведомления, инструкция и подтверждение, что команда умеет разбирать ложные и реальные срабатывания.