Коротко
• Пакет доказательств должен смотреть на платежную страницу глазами браузера клиента, а не только репозитория.
• Для 6.4.3 важны инвентаризация, подтверждение разрешения, целостность и бизнес-обоснование.
• Для 11.6.1 важны обнаружение несанкционированных изменений, контролируемые страницы, заголовки, периодичность и обработка оповещений.
1. Зафиксируйте контур
Первый артефакт — список платежных страниц и страниц, влияющих на безопасность процесса оплаты в электронной коммерции. Это особенно важно, если оформление заказа состоит из нескольких шагов, модальных окон, встроенных форм оплаты или внешних скриптов.
2. Соберите реестр исполняемых скриптов
По требованию 6.4.3 нужна не только инвентаризация, но и письменное обоснование, зачем каждый скрипт необходим. Практически это означает таблицу с URL или источником, ответственным, назначением, типом поставщика и бизнес-обоснованием.
3. Покажите базовое состояние страницы и HTTP-заголовков
Для 11.6.1 нужно демонстрировать не только HTML-код в репозитории, но и то, что реально получил браузер клиента: DOM, подключённые скрипты, заголовки, влияющие на безопасность, сторонние вызовы и выявленные изменения.
4. Добавьте процесс реагирования
QSA-аудитор и внутренняя команда хотят видеть не только обнаружение, но и процесс: кто получает сигнал, кто оценивает инцидент, как быстро блокируется изменение, где хранится история и как подтверждается устранение.
5. Отдельно оформите краткую сводку для руководства
Для бизнеса и руководителя инфраструктуры полезна короткая сводка: какие страницы мониторятся, сколько скриптов под контролем, какие риски обнаружены, что уже исправлено и какие действия остаются до промышленного запуска.