Skip to main content
Blog
Blog

¿Es Stripe compatible con PCI DSS? Lo que los comerciantes aún deben hacer

Stripe tiene certificación PCI Nivel 1. Los comerciantes siguen siendo responsables de la monitorización de scripts en la página de pago según §6.4.3 y §11.6.1.

Mar 21, 2025 8 min read
Ilustración de cumplimiento PCI DSS con Stripe

Resumen: cumplimiento PCI DSS con Stripe

  • Stripe gestiona el cumplimiento PCI DSS Nivel 1 del propio procesamiento de tarjeta, por eso los comercios suelen decir que 'cumplen PCI con Stripe'. Es cierto a medias.
  • Los comercios siguen siendo responsables de los requisitos PCI DSS 4.0.1 6.4.3 y 11.6.1 en su propio sitio aunque Stripe procese la tarjeta. Cubren inventario de scripts y detección de manipulación en páginas de pago en tu dominio.
  • Stripe Elements minimiza pero no elimina el alcance del comercio. Los comercios SAQ-A que usan Stripe Elements aún deben satisfacer 6.4.3 y 11.6.1, y el nivel gratuito de cside cubre ambos.

Sí, Stripe tiene certificación PCI DSS Nivel 1, el nivel más alto disponible. Esa certificación cubre la infraestructura de Stripe. No cubre tu sitio web. Si tu página de pago carga cualquier script que controles, analítica, chat en vivo, gestión de consentimiento, pruebas A/B, dos requisitos de PCI DSS 4.0.1 siguen siendo tu responsabilidad que Stripe no puede satisfacer en tu nombre: §6.4.3 y §11.6.1.

Lo que realmente cubre el cumplimiento PCI de Stripe

El estatus de proveedor de servicios Nivel 1 de Stripe es verificado anualmente por un Evaluador de Seguridad Cualificado (QSA) y aparece en el Registro Global de Proveedores de Servicios de Visa. La certificación confirma que los centros de datos, los sistemas de procesamiento de tarjetas y la infraestructura interna de Stripe cumplen con los estándares PCI DSS.

Lo que esto cubre:

  • Transmisión y almacenamiento de datos de tarjetas dentro de los sistemas de Stripe
  • Iframes de Stripe Checkout y Elements, que cargan desde el dominio certificado PCI de Stripe
  • Los SDK móviles y de Terminal de Stripe

Lo que esto no cubre:

  • JavaScript que se ejecuta en tus páginas web en los navegadores de tus clientes
  • Analítica, chat, consentimiento u otros scripts de terceros en páginas que redirigen o cargan un formulario de pago
  • Tus cabeceras de seguridad HTTP o configuraciones de cookies

El límite es el servidor de Stripe. Tu página de pago, la que recopila o redirige datos de tarjetas, se ejecuta en los navegadores de tus clientes, y esa superficie es tuya.

Cómo cumplir usando Stripe

Los productos de Stripe están diseñados para manejar datos sensibles de tarjetas de forma segura, reduciendo así el alcance de tus responsabilidades de PCI DSS:

  • Stripe Checkout y Elements: Estas herramientas utilizan campos de pago alojados, asegurando que la información de pago sensible se transmita directamente a los servidores validados por PCI DSS de Stripe sin tocar tus servidores.
  • SDKs móviles y de Terminal: Los SDKs de Stripe para pagos móviles y en persona también envían información sensible directamente a Stripe, minimizando tu alcance de PCI.
Integración de Stripe SAQ requerido Razón
Stripe Checkout (página de pago alojada) SAQ A Ningún dato del titular de la tarjeta toca tu servidor
Stripe Elements (campos integrados)* SAQ A* Elements transmite datos de forma segura a Stripe*
Stripe.js v2 con UI personalizada SAQ A-EP* Tu frontend afecta la seguridad de las transacciones
API directa (datos de tarjeta en tu servidor) SAQ D Almacenas, procesas y/o transmites datos de tarjetas

*Ahora debes monitorear las dependencias en las páginas de pago, más información a continuación.

  • Si usas Stripe Checkout (página de pago alojada), calificas para SAQ A.
  • Si usas Stripe Elements (campos integrados que envían datos directamente a Stripe), calificas para SAQ A.
  • Si usas los SDKs móviles o de Terminal de Stripe, los datos de pago son procesados de forma segura por Stripe, manteniéndote en SAQ A.
  • Si recopilas y almacenas datos del titular de la tarjeta o usas una integración de API directa, debes completar SAQ D e implementar controles completos de PCI.

Si calificas para SAQ A, tus responsabilidades de PCI DSS son mínimas porque Stripe maneja los datos sensibles de las tarjetas.

Si requieres SAQ A-EP o SAQ D, asumes más responsabilidad por asegurar las transacciones.

Qué requisitos de PCI DSS no cubre Stripe

PCI DSS 4.0.1 introdujo dos requisitos dirigidos a la capa del navegador, ambos obligatorios desde el 31 de marzo de 2025:

Requisito 6.4.3, Autorización de scripts en páginas de pago

Debes mantener un inventario documentado de cada script autorizado para ejecutarse en tus páginas de pago. Para cada script, necesitas un método para confirmar su integridad, que el código no ha sido modificado desde la última vez que lo revisaste. Esto aplica tanto a scripts propios como de terceros (analítica, chat de soporte, herramientas de pruebas A/B).

Requisito 11.6.1, Detección de cambios en cabeceras HTTP

Debes implementar un mecanismo que detecte cambios no autorizados en las cabeceras de seguridad HTTP y los atributos de cookies en tus páginas de pago y genere alertas.

Stripe no tiene visibilidad sobre estos scripts o cabeceras. Ambos requisitos abordan lo que sucede en los navegadores de tus clientes en tu página web, una superficie completamente fuera del entorno de Stripe.

La actualización de enero de 2025 del PCI Security Standards Council al SAQ A lo confirmó: incluso los comerciantes que usan Stripe Checkout completamente alojado deben cumplir §6.4.3 y §11.6.1 si su flujo de pago pasa por cualquier página que cargue scripts externos. Consulta nuestro análisis de la actualización SAQ A de enero de 2025 para más detalles.

Monitorización de scripts para el cumplimiento SAQ A

Según la actualización de enero de 2025, el Consejo de Estándares de Seguridad PCI enfatizó la importancia de monitorear las dependencias. Esto incluye tanto scripts propios como de terceros en los sitios web.

Un monitor del lado del cliente satisface §6.4.3 y §11.6.1 ejecutándose en los navegadores de tus clientes, inventariando cada script en cada visita a la página de pago y alertando cuando un script cambia o aparece uno nuevo. cside monitorea scripts y cabeceras HTTP en los navegadores de visitantes reales, incluyendo cargas útiles condicionales que parecen limpias para los escáneres pero se activan en tráfico de producción.

Encuentra la documentación de Stripe sobre PCI DSS aquí.

Lectura relacionada: nuestra guía de cumplimiento PCI DSS 6.4.3 y 11.6.1 · responsabilidades PCI DSS compartidas con Adyen

Determina tu nivel de cumplimiento de PCI

Nivel Criterio Requisito de validación
Nivel 1 Más de 6 millones de transacciones anuales Auditoría completa en sitio por un QSA + SAQ D
Nivel 2 1 a 6 millones de transacciones anuales SAQ A, SAQ A-EP o SAQ D + Certificación de Cumplimiento (AOC)
Nivel 3 20.000 a 1 millón de transacciones en línea anuales SAQ A, SAQ A-EP o SAQ D + Certificación de Cumplimiento (AOC)
Nivel 4 Menos de 20.000 transacciones en línea O hasta 1 millón de transacciones totales SAQ A, SAQ A-EP o SAQ D + Certificación de Cumplimiento (AOC)
  • Nivel 1 = Debe completar un ROC (Evaluación completa de PCI DSS con Informe completo sobre cumplimiento por QSA)
  • Nivel 2 = Debe completar al menos un SAQ con certificación de QSA o ISA de terceros
  • Nivel 3 = Debe completar un SAQ
  • Nivel 4 = Opcional

La Atestación de Cumplimiento PCI DSS para comercios de Stripe

La Atestación de Cumplimiento PCI DSS (AoC) para un comercio de Stripe es un documento que un QSA (o un firmante interno autorizado bajo SAQ) produce al final de un ciclo de evaluación, indicando qué nivel SAQ cumple el comercio y que todos los controles aplicables están implementados. Para la mayoría de comercios ecommerce de Stripe eso significa una atestación SAQ A (página de pago totalmente externalizada) o SAQ A-EP (checkout alojado en el sitio del comercio).

El punto operativo importante es que el AoC de Stripe cubre a Stripe. No cubre al comercio. Incluso usando Stripe Elements o Checkout, el comercio sigue teniendo obligación de AoC porque la página de pago se ejecuta en el dominio del comercio y el comercio es responsable de los scripts cargados en esa página bajo 6.4.3 y 11.6.1. Los equipos de compras enterprise piden con frecuencia ambos AoC durante el onboarding de proveedores.

cside proporciona la traza de evidencia que respalda el AoC SAQ A o SAQ A-EP del propio comercio: inventario continuo de scripts, monitorización de integridad y evidencia lista para auditoría de 6.4.3 y 11.6.1 que un QSA puede extraer sin urgencias.

Identifica tu tipo de integración y documentación requerida

Completa el SAQ apropiado Una vez que hayas identificado el SAQ correcto según tu método de integración, complétalo exhaustivamente. Stripe proporciona un asistente de PCI en tu Panel de control para guiarte.

Envía tu documentación Después de completar el SAQ, envíalo junto con cualquier Certificación de Cumplimiento (AOC) o Informe sobre Cumplimiento (ROC) requerido a Stripe para revisión.

Mantén el cumplimiento continuo El cumplimiento de PCI requiere monitorización continua. Revisa tu inventario de scripts regularmente, mantén tu SAQ actualizado y monitorea las cabeceras de la página de pago para detectar cambios no autorizados.

La misma brecha entre la certificación del procesador y la obligación del comerciante aplica al usar Adyen o PayPal y Braintree como procesador de pagos.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks, web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

No. La certificación PCI Nivel 1 de Stripe cubre la infraestructura de Stripe y los campos de pago alojados. Tus obligaciones bajo PCI DSS 4.0.1, incluyendo la autorización de scripts en la página de pago (§6.4.3) y la detección de cambios en cabeceras HTTP (§11.6.1), siguen siendo tu responsabilidad independientemente del procesador de pagos que uses.

Stripe Checkout y Stripe Elements reducen el alcance pero no te eximen de las secciones 6.4.3 y 11.6.1 de PCI DSS 4.0.1. Todo lo que esté en la página de pago, tus propios scripts, analítica, tests A/B, sigue necesitando inventario, autorización y monitorización de manipulaciones.

Usa Stripe Elements o Checkout y, encima, añade un monitor de cliente como cside para vigilar cada script y cada cabecera CSP de la página de pago. Juntos cubren los campos alojados por Stripe y tu propio HTML.

El requisito 6.4.3 exige que los comerciantes mantengan un inventario autorizado de todos los scripts en sus páginas de pago y confirmen la integridad de cada uno. El requisito 11.6.1 requiere un mecanismo de detección de cambios para las cabeceras de seguridad HTTP y los atributos de cookies en las páginas de pago. Ambos se volvieron obligatorios para todos los comerciantes el 31 de marzo de 2025.

Sí. Stripe tiene certificación PCI DSS Nivel 1, verificada anualmente por un Evaluador de Seguridad Cualificado. Esto certifica la propia infraestructura y el manejo de datos de Stripe, no extiende la cobertura a los scripts que se ejecutan en tus páginas de pago.

Sí. cside es el proveedor preferido de AWS para los requisitos PCI DSS 4.0.1 6.4.3 y 11.6.1, respaldado por una alianza global. Los comerciantes que adoptan cside para monitoreo de scripts a nivel del navegador pueden adquirirlo a través del AWS Marketplace y alinear la implementación con sus herramientas de seguridad y flujos de cumplimiento existentes en AWS.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo