Что реально изменилось в защите платежных страниц после PCI DSS 4.0.1

Что изменилось в отчетности, а что осталось в модели рисков

30 января 2025 года PCI SSC объявил обновление SAQ A: из анкеты убрали требования 6.4.3, 11.6.1 и связанную с 11.6.1 целевую оценку рисков. Из-за этого многие решили, что тема защиты платежных страниц «снята».

Это неверный вывод. PCI SSC прямо пояснил: базовые требования не исчезли. Для SAQ A изменили способ валидации, но сам риск кражи данных через скрипты и подмены скриптов платежной страницы никуда не делся.

Что добавилось для компаний, проходящих SAQ A

В новой редакции SAQ A появился критерий: компания должна подтвердить, что ее сайт не подвержен атакам со стороны скриптов, которые могут повлиять на систему электронной коммерции.

28 февраля 2025 года FAQ 1588 уточнил, что для встроенной формы оплаты это можно подтвердить либо собственными техниками защиты страницы, либо подтверждением от совместимого с PCI DSS поставщика услуг или платежного процессора, если их решение при корректной интеграции закрывает этот риск.

Почему это важно даже если у вас iframe

10 марта 2025 года PCI SSC выпустил отдельное информационное дополнение по защите платежных страниц и предотвращению электронного скимминга. Там прямо сказано, что разъяснения предназначены для транзакций электронной коммерции и для веб-страниц, которые влияют на безопасность платежей через встроенные формы оплаты.

То есть рынок смещается от формального вопроса «есть ли у нас iframe» к более прикладному вопросу «контролируем ли мы страницу, в которую встроена форма оплаты, и можем ли заметить несанкционированные изменения».

Практический вывод для команды

Если вы продаёте или внедряете решение для защиты платежных страниц, не стоит строить позиционирование только вокруг «закрытия PCI 6.4.3/11.6.1». Более сильная постановка: снижение риска кражи данных через скрипты, контроль реальной страницы в браузере и пакет доказательств для QSA-аудитора или внутренней команды информационной безопасности.