Покрытие Cartelta JSIR помогает оценить объем мониторинга платежных страниц, событий и доказательств для требований PCI DSS 6.4.3 и 11.6.1. Обычно стартуют с одного платежного сценария, затем переходят к постоянному мониторингу и добавляют корпоративные интеграции по мере роста контура.
2-3 недели
типичный запуск пилота
6.4.3 / 11.6.1
фокус доказательств
60 дней
история событий в Business
Шкала месячных событий JSIR показывает ориентир по проверкам состояния, обнаруженным изменениям, алертам и обновлениям доказательств. Финальная стоимость также учитывает состав страниц, поверхность скриптов, интеграции, отчетность и уровень поддержки.
Выбранный объем
1k событий/месяц
Оценка тарифа Business
21 000 ₽
Для основных платежных страниц в production. Pilot и Enterprise уточняются после короткого discovery.
Один или несколько checkout-сценариев
Владельцы скриптов и сторонние теги
Периодичность доказательств для аудита
Каждый тариф привязан к реальному этапу внедрения: доказать контроль, запустить production-мониторинг или подключить корпоративные security-процессы.
Для команд, которым нужно проверить один платежный сценарий перед переходом к платному мониторингу.
тест на 1 месяц
Лучше всего для первой проверки, внутреннего согласования и диалога с QSA перед подпиской.
Один платежный сценарий
Снятие базового состояния и инвентаризация скриптов
Первичная сводка рисков
Пилотный отчет для QSA
Для промышленного мониторинга основных страниц оплаты и регулярного сбора доказательств.
в месяц
Лучше всего для постоянного мониторинга платежных страниц и регулярной отчетности.
До 10 контролируемых шаблонов страниц
Ежедневные и событийные проверки
Лента событий и экспорт доказательств
Email-поддержка и сессия внедрения
Для больших контуров, строгих требований к поддержке и процессов SOC/SIEM.
годовой контракт
Лучше всего для нескольких команд, custom retention и интеграций.
Индивидуальный объем страниц и трафика
Расширенные интеграции и webhooks
Выделенный план внедрения
Приоритетная поддержка и сопровождение контроля
Инвентаризация скриптов платежных страниц
Обнаружение изменений на стороне клиента
Пакет доказательств для PCI DSS 6.4.3 и 11.6.1
История событий безопасности и экспорт
Трафик важен, но это не единственный фактор. Мы считаем стоимость вокруг операционной работы, которая нужна, чтобы контроль клиентской стороны был полезен ИБ и аудиторам.
Один checkout проще, чем несколько регионов, брендов, способов оплаты и вариантов встроенной формы.
Шаблоны страниц
Варианты checkout
Сценарии провайдеров оплаты
Количество собственных скриптов, сторонних тегов, правил tag manager и динамических загрузчиков влияет на baseline и анализ изменений.
Сторонние теги
Логика tag manager
Динамические загрузчики
У разных команд разные процессы: кому-то достаточно ежемесячного пакета, кому-то нужен более строгий ритм для QSA или владельцев контроля.
Ежемесячные отчеты
Экспорты для review
Требования хранения
Enterprise может передавать события и доказательства в существующие security-процессы, а не создавать отдельную очередь.
Webhooks
Маршрутизация в SOC/SIEM
Custom reporting
Задача не только в обнаружении изменений. Cartelta помогает собрать понятный след доказательств для ИБ, e-commerce и аудита.
Первичный срез контролируемых страниц, известных скриптов, владельцев и ожидаемого поведения на стороне клиента.
Единое место для событий, статуса страниц и изменений, которые требуют реакции ИБ или владельцев приложений.
Экспорты и сводки, которые помогают обсуждать PCI DSS 6.4.3 и 11.6.1 с внутренними командами и QSA.
Структура тарифов повторяет обычную зрелость программы защиты платежных страниц: сначала проверяется один checkout flow, затем запускается постоянный мониторинг ключевых платежных страниц, после этого добавляются SOC/SIEM-маршрутизация, управление, хранение и аудитные процессы.
| Pilot | Business | Enterprise | |
|---|---|---|---|
| Мониторинг | |||
| Контролируемые платежные сценарии | 1 | До 10 | Индивидуально |
| Контролируемые шаблоны страниц | 1-2 | До 10 | Индивидуально |
| Инвентаризация скриптов и владельцев | Включено | Включено | Включено |
| Baseline сторонних скриптов | Первичный снимок | Поддерживаемый baseline | Baseline для нескольких команд |
| Контроль целостности и изменений | На период пилота | Постоянно | Постоянно |
| Dynamic SRI / allowlist | Рекомендации по baseline | Операционная поддержка | Индивидуальный rollout |
| Сигналы подозрительного поведения на клиенте | Базовые | Расширенные | Расширенные + индивидуальные правила |
| События и реакция | |||
| История событий | Период пилота | 60 дней | Индивидуальное хранение |
| Разбор событий | Сводка пилота | Рабочая лента | Ролевой workflow |
| Контекст риска для изменений | Базовый | Расширенный | Индивидуальная классификация |
| Модель уведомлений | Email-сводка | Email + опция webhook | Процесс заказчика |
| Артефакты incident response | Примеры пилота | Экспортируемые записи | Пакет под процесс заказчика |
| Доказательства и аудит | |||
| Экспорт доказательств PCI DSS | Пилотный отчет | Ежемесячный пакет | Индивидуальный цикл |
| Пакет для QSA / аудита | Пакет пилота | Регулярные доказательства | Индивидуальная модель доказательств |
| Периодичность review | Итоговый разбор пилота | Ежемесячно | Индивидуальный график |
| Хранение доказательств | Период пилота | 60 дней | Индивидуальное хранение |
| Экспорт истории изменений | Включено | Включено | Индивидуальный формат |
| Доступы и интеграции | |||
| Доступ команды | 2 пользователя | 5 пользователей | Индивидуальные роли |
| Интеграция с SOC/SIEM | Не входит | Опция webhook | Планируется с заказчиком |
| API / webhook-события | Не входит | Приоритетные события | Индивидуальная маршрутизация |
| Несколько брендов или регионов | Не входит | Ограниченный контур | Поддерживается |
| Поддержка compliance-документации | Заметки пилота | Стандартный пакет | Под процесс заказчика |
| Поддержка | |||
| Внедрение | Пилот с сопровождением | Сессия внедрения | Выделенный rollout |
| Канал поддержки | Приоритетный | ||
| Поддержка владельцев контроля | Итоговый звонок | Ежеквартальный звонок | Индивидуальный график |
| Планирование rollout | Контур пилота | Контур Business | Выделенный план |
| Передача в эксплуатацию | Сводка пилота | Базовый playbook | Playbook под команду заказчика |
Контур
В первичный контур входят платежные страницы, внешние скрипты, tag managers и варианты checkout.
Базовое состояние
Baseline фиксирует ожидаемое состояние на стороне клиента и владельцев скриптов.
Мониторинг
Мониторинг показывает изменения, собирает доказательства и направляет события ответственным командам.
Аудит
Экспорты дают артефакты для внутренней проверки и обсуждения с QSA.
Обычно эти пункты уточняются после пилота, когда команда уже понимает важные сценарии, владельцев и требования к отчетности.
Маршрутизация SOC/SIEM
Передача приоритетных событий и обновлений доказательств через webhooks.
Индивидуальное хранение
Более длинное хранение событий и доказательств для внутренних процессов.
Поддержка rollout
Сопровождение нескольких брендов, рынков или платежных провайдеров.
Модель владения
Распределение владельцев платежных страниц, скриптов, маршрутов реакции и доказательств между командами или брендами.
Для точного расчета достаточно примерного числа платежных сценариев, ожидаемых месячных событий JSIR и сроков аудита. Так проще подобрать практичный стартовый тариф.
Нет. Трафик - один из параметров планирования. Также учитываются количество платежных сценариев, сложность скриптов, интеграции и требуемый уровень сопровождения.
Да. Пилотный формат нужен, чтобы проверить один checkout flow, собрать базовое состояние и обсудить доказательства с ИБ, бизнесом или аудиторами.
Да. Cartelta фокусируется на инвентаризации скриптов, контроле целостности, обнаружении изменений на стороне клиента и доказательствах для PCI DSS 4.0.1.
Да. В Enterprise-контур можно включить webhooks, регулярную отчетность и требования к внедрению, которые согласуются на этапе планирования.
Обычно нужны количество платежных сценариев, ожидаемые месячные события JSIR, важные сторонние скрипты, использование tag manager, сроки аудита и требование к передаче событий в SOC или SIEM.
Да. Пилот нужен, чтобы определить baseline, проверить формат доказательств и упростить расчет production-контура.
Для типового Business-сценария есть плановые ориентиры. Большие контуры требуют расчета, потому что количество страниц, трафик, интеграции и поддержка заметно меняют объем работы.
Для точного расчета достаточно примерного числа платежных сценариев, ожидаемых месячных событий JSIR и сроков аудита. Так проще подобрать практичный стартовый тариф.
Cartelta JSIR
© 2026 Cartelta. Все права защищены.
Направить запрос