Skip to main content
Blog
Blog

¿Shopify te hace cumplir con PCI DSS? Lo que los requisitos 6.4.3 y 11.6.1 aún exigen

Shopify es un proveedor de servicios PCI DSS de nivel 1, pero eso certifica los sistemas propios de Shopify, no tu tienda. Los requisitos 6.4.3 y 11.6.1 siguen siendo tu responsabilidad.

Jul 15, 2026 9 min read
¿Shopify te hace cumplir con PCI DSS? Lo que los requisitos 6.4.3 y 11.6.1 aún exigen

¿Usar Shopify te hace cumplir con PCI DSS?

No. Shopify es un proveedor de servicios PCI DSS de nivel 1, y esa certificación cubre la infraestructura propia de Shopify, no tu tienda. Los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1 regulan los scripts que se ejecutan en tu página de pago en el navegador del consumidor, y esa superficie sigue siendo tu responsabilidad independientemente de qué plataforma de pago gestione la transacción.

Esta distinción importa especialmente para los comerciantes que asumen que la plataforma hace el trabajo de cumplimiento por ellos. Shopify gestiona los datos de pago de forma segura. No gestiona los scripts que tus apps, Pixels e integraciones cargan junto a ellos.

Qué cubre realmente Shopify (y qué no)

Shopify es un proveedor de servicios PCI DSS de nivel 1 certificado. Cuando un cliente finaliza una compra a través del checkout alojado de Shopify, los datos sensibles de la tarjeta son capturados, transmitidos y almacenados dentro del entorno de Shopify. Esa es la reducción de ámbito que proporciona Shopify, y es real.

Lo que Shopify no hace es asumir la propiedad de cada script que se ejecuta en la página de pago. Tu tienda carga scripts de apps de terceros, etiquetas de análisis, widgets de fidelización, chat en vivo y herramientas de reseñas en la misma sesión del navegador que el flujo de pago. Shopify certifica sus propios sistemas. No certifica tu página de pago.

AspectoShopify lo cubreTú sigues siendo responsable (6.4.3 / 11.6.1)
Captura y almacenamiento del número de tarjetaSí, dentro del checkout alojado de ShopifyNo
Certificación PCI DSS propia de ShopifySí, como proveedor de nivel 1No
Scripts añadidos por tus apps de ShopifyNoSí, inventariar y justificar cada uno (6.4.3)
Shopify Pixels y etiquetas de análisis en el checkoutNoSí, cada uno está en el ámbito (6.4.3)
Integridad de scripts de apps y personalizadosNoSí, confirmar que no hay cambios no autorizados (6.4.3)
Detección de manipulaciones y alertasNoSí, implementar un mecanismo (11.6.1)
Cabeceras HTTP de impacto en la seguridadNoSí, monitorizar cambios no autorizados (11.6.1)
Tu SAQ de comerciante y AoCNoSí, tú te autoevalúas y atiestas

La división es clara. Shopify es propietario de los datos de pago y de su infraestructura. Tú eres propietario del entorno del navegador en tu página de pago. PCI DSS 4.0.1 hizo que esa segunda columna fuera obligatoria.

¿Qué exigen realmente los requisitos 6.4.3 y 11.6.1?

Ambos requisitos abordan los ataques del lado del cliente, donde se inyecta código malicioso en scripts que se ejecutan en el navegador del cliente. Se volvieron obligatorios el 31 de marzo de 2025 (PCI Security Standards Council, PCI DSS v4.0.1).

Requisito 6.4.3: gestiona los scripts de tu página de pago. Para cada script cargado y ejecutado en la página de pago en el navegador del consumidor, debes:

  • Mantener un inventario de todos los scripts, con justificación escrita de por qué es necesario cada uno.
  • Autorizar cada script antes de que se añada o cambie.
  • Confirmar la integridad de cada script verificando que no ha sido modificado sin autorización.

Requisito 11.6.1: detectar manipulaciones y alertar. Debes implementar un mecanismo de detección de cambios y manipulaciones que:

  • Alerte al personal sobre modificaciones no autorizadas de las cabeceras HTTP y los scripts de la página de pago, tal como las recibe el navegador del consumidor.
  • Evalúe la página recibida al menos una vez cada siete días, o con la frecuencia definida en tu análisis de riesgo.

El requisito 6.4.3 dice que debes conocer y autorizar tus scripts, y el 11.6.1 dice que debes vigilarlos y alertar cuando cambien. Shopify no satisface ninguno de los dos, porque ambos tratan sobre lo que se ejecuta en el navegador y no sobre adónde van los datos de la tarjeta.

¿Aplican estos requisitos a los comerciantes de Shopify con SAQ A?

El SAQ A es la autoevaluación más corta, reservada para comerciantes que externalizan completamente el manejo de datos de titulares de tarjetas. El checkout alojado de Shopify puede hacerte elegible para el SAQ A, pero solo si tu página de pago cumple una condición.

La actualización de enero de 2025 del SAQ A eliminó los requisitos 6.4.3 y 11.6.1 del cuestionario, pero añadió un nuevo criterio de elegibilidad. Para usar el SAQ A debes confirmar que tu página de pago no es susceptible a ataques desde scripts que puedan afectar a tus sistemas de comercio electrónico, y que todos los elementos entregados al navegador provienen directamente de un procesador certificado PCI DSS (PCI Security Standards Council, 2025).

La mayoría de las tiendas Shopify no pueden hacer esa confirmación limpiamente. Una tienda con una app de fidelización, un widget de chat en vivo, una herramienta de reseñas o incluso una sola etiqueta de análisis cargándose en la página de pago tiene scripts que no provienen del entorno certificado PCI de Shopify. Eso saca a la tienda de la elegibilidad limpia del SAQ A. Confirma tu versión actual del SAQ A y sus criterios de elegibilidad en la Biblioteca de Documentos del PCI SSC antes de asumir que estás fuera del ámbito.

Riesgos específicos de scripts de Shopify en la página de pago

El ecosistema de apps y las funciones de extensibilidad de Shopify añaden varias fuentes de scripts que la mayoría de los comerciantes no rastrean manualmente.

Shopify Pixels. La API de Pixels de Shopify permite que herramientas de análisis y marketing de terceros se ejecuten en el checkout. Las etiquetas de análisis, publicidad y atribución configuradas mediante el sandbox de Pixels de Shopify se ejecutan en el navegador del consumidor en la página de pago. Cada una está en el ámbito del requisito 6.4.3 y debe inventariarse y justificarse.

Extensiones de UI de Checkout. Los comerciantes de Shopify Plus pueden usar Checkout Extensibility para añadir funcionalidades personalizadas al checkout mediante extensiones basadas en React. Estas extensiones se cargan en el navegador del consumidor junto a los campos de pago. Cualquier script entregado a través de una extensión está sujeto a los mismos requisitos de inventario e integridad.

Scripts de apps de Shopify. Las apps instaladas desde la App Store de Shopify pueden inyectar JavaScript en temas y, en algunas configuraciones, en la página de pago. Los widgets de reseñas, los programas de fidelización y las herramientas de upsell son ejemplos comunes. Sin monitorización activa, un script de app comprometido o actualizado puede cambiar tu página de pago sin que tu equipo lo note.

JavaScript de temas. Los temas de Shopify pueden incluir JavaScript que se carga junto al flujo de pago. Si un archivo de tema se ve comprometido o una actualización introduce nuevas llamadas de terceros, el requisito 11.6.1 exige que detectes y alertes sobre ese cambio.

Por qué la página de pago es tu superficie de ataque

El checkout alojado de Shopify protege la captura de datos de tarjetas. Los ataques del lado del cliente raramente tienen como objetivo el campo de la tarjeta directamente. Van a por la página que lo rodea.

Un script comprometido puede superponer un formulario falso sobre el checkout, redirigir a un comprador a mitad del proceso o leer nombre, correo electrónico, dirección y datos del pedido del DOM antes de que se complete el pago. Las cabeceras HTTP de impacto en la seguridad modificadas pueden habilitar esos ataques. Esos riesgos existen en cualquier página de pago porque se ejecutan en el navegador del cliente, no en tus servidores.

El incidente de Polyfill[.]io de 2024 ilustra la exposición: un script de terceros de confianza integrado en más de 490.000 sitios fue comprometido y comenzó a servir código de skimming a páginas de pago de la noche a la mañana (Sansec, 2024). Un comerciante de Shopify con ese script cargándose en su página de pago estaba expuesto independientemente de la certificación PCI de Shopify, porque el ataque se ejecutó en el navegador.

Cómo satisfacer los requisitos 6.4.3 y 11.6.1 para tu tienda Shopify

El cumplimiento manual es posible: crea un inventario de scripts de cada script en tu página de pago, justifica cada uno, calcula sus hashes y comprueba semanalmente el checkout renderizado para detectar cambios. Para una tienda con un puñado de scripts estables, podría funcionar. Para una tienda Shopify donde las apps actualizan scripts en su propio ciclo de lanzamiento y los Pixels cambian con las campañas de marketing, el enfoque manual falla rápidamente.

La respuesta operativa es la monitorización automatizada y continua de scripts diseñada para la página de pago. cside PCI Shield está diseñado para satisfacer ambos requisitos directamente:

  • Inventario y justificación automatizados (6.4.3). cside descubre cada script en tu página de pago de Shopify, construye el inventario y te permite registrar la autorización y justificación en un solo lugar con revisión asistida por IA.
  • Detección de manipulaciones en tiempo real (11.6.1). cside monitoriza los scripts y las cabeceras HTTP de impacto en la seguridad de forma continua y alerta sobre cambios no autorizados, en lugar de hacer muestras semanales.
  • Evidencias listas para auditoría. cside archiva cada versión de script con historial completo, para que entregues a un QSA registros forenses en lugar de suposiciones.

La conclusión

Shopify es un proveedor de servicios PCI DSS de nivel 1, y eso es genuinamente valioso para la reducción del ámbito. No te hace totalmente cumplidor con PCI, porque los requisitos 6.4.3 y 11.6.1 te hacen responsable de cada script y cabecera en tu página de pago, y Shopify no gestiona esa superficie.

La mayoría de las tiendas Shopify tienen scripts de apps, Pixels e integraciones que se cargan en la página de pago. Cada uno está en el ámbito. Inventárialos, autoriza cada uno e implementa detección de manipulaciones en tiempo real. Para la parte operativa, consulta cside PCI Shield y seguridad del lado del cliente, o reserva una demo para revisar tu checkout de Shopify.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

No. Shopify es un proveedor de servicios PCI DSS de nivel 1, lo que certifica la infraestructura propia de Shopify y el procesamiento de pagos. Como comerciante, el cumplimiento de PCI sigue siendo tu responsabilidad. Los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1 regulan cada script que se carga en el navegador del consumidor en tu página de pago, y Shopify no asume la propiedad de esa superficie. Los scripts añadidos por tus apps de Shopify, los Shopify Pixels y cualquier integración personalizada en la página de pago siguen siendo tu obligación.

El requisito 6.4.3 establece que debes gestionar cada script que se carga y ejecuta en el navegador en tu página de pago. Para cada script debes mantener un inventario, una justificación escrita de por qué es necesario y un método para confirmar su integridad, es decir, que no haya sido modificado sin autorización. El objetivo es evitar que scripts no autorizados o manipulados roben datos de pago en el navegador del cliente.

El requisito 11.6.1 establece que debes implementar un mecanismo de detección de cambios y manipulaciones que te alerte cuando los scripts de tu página de pago, o sus cabeceras HTTP de impacto en la seguridad, sean modificados. El mecanismo debe evaluar la página de pago tal como la recibe el navegador del consumidor al menos cada siete días, o con la frecuencia definida en tu análisis de riesgo. Existe para detectar ataques de tipo Magecart inyectados en el código del lado del cliente.

Indirectamente, sí. La actualización de enero de 2025 del SAQ A eliminó los requisitos 6.4.3 y 11.6.1 del cuestionario, pero añadió un nuevo criterio de elegibilidad: debes confirmar que tu página de pago no es susceptible a ataques desde scripts, y que todos los elementos entregados al navegador proceden directamente de un procesador certificado PCI DSS. La mayoría de las tiendas Shopify con scripts de apps, Shopify Pixels, etiquetas de análisis o widgets de chat en la página de pago no pueden hacer esa confirmación limpiamente. Los comerciantes que no cumplen el criterio deben satisfacer directamente los requisitos 6.4.3 y 11.6.1.

Sí. Cualquier script que se carga y ejecuta en el navegador del consumidor en tu página de pago está en el ámbito del requisito 6.4.3, independientemente de si proviene de una app aprobada por Shopify, un Pixel de Shopify o una integración personalizada. Esto incluye etiquetas de análisis, widgets de reseñas, apps de fidelización, herramientas de chat en vivo y extensiones de UI de checkout añadidas mediante la API de extensibilidad de Shopify.

cside PCI Shield descubre e inventaría automáticamente cada script que se ejecuta en tu página de pago de Shopify, registra la autorización y justificación en un solo lugar y monitoriza los scripts y las cabeceras HTTP de impacto en la seguridad en tiempo real para detectar cambios no autorizados. Produce las evidencias listas para auditoría que los QSA necesitan para los requisitos 6.4.3 y 11.6.1, y está validado por QSA para PCI DSS 4.0.1.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo