Skip to main content
Blog
Blog

¿Stripe te hace cumplir con PCI? Lo que los requisitos 6.4.3 y 11.6.1 de PCI DSS aún exigen

Stripe reduce tu alcance de PCI DSS y puede llevarte al SAQ A, pero no hace que tu sitio cumpla por completo. Los requisitos 6.4.3 y 11.6.1 siguen siendo tuyos.

Jul 09, 2026 9 min read
¿Stripe te hace cumplir con PCI? Lo que los requisitos 6.4.3 y 11.6.1 de PCI DSS aún exigen

¿Usar Stripe te hace cumplir con PCI?

No. Usar Stripe reduce tu alcance de PCI DSS y puede llevarte a la autoevaluación SAQ A, que es más corta, pero no hace que cumplas por completo. Stripe certifica sus propios sistemas, no tu sitio web. Los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1 rigen los scripts de tu página de pago, y esa página sigue cargándose en el navegador de tu cliente. Siguen siendo tu responsabilidad.

Los equipos de comercio electrónico y de cumplimiento suelen pasar por alto esta brecha. Delegar la captura de la tarjeta a un procesador es valioso: saca los datos del titular de la tarjeta de tus servidores y reduce la cantidad de controles que autodeclaras. Pero "usamos Stripe" responde a una pregunta sobre dónde se procesan los números de tarjeta. No responde la pregunta que PCI DSS 4.0.1 ahora plantea: ¿qué está haciendo cada script en el navegador mientras tu cliente escribe su tarjeta?

Qué cubre realmente Stripe (y qué no)

Stripe es un proveedor de servicios de Nivel 1 de PCI DSS, y puedes usar Stripe para reducir el alcance de PCI DSS. Cuando usas Stripe Elements, campos alojados o Stripe Checkout, el número de tarjeta se ingresa en un iframe servido y controlado por Stripe. Los datos sensibles aterrizan en el entorno de Stripe, no en el tuyo. Esa es la reducción de alcance por la que estás pagando, y es real.

Lo que Stripe no hace es asumir la responsabilidad de la página que rodea su iframe. Tu página de checkout sigue siendo servida desde tu dominio, ensamblada por tu stack y decorada con tus scripts: analítica, gestores de etiquetas, repetición de sesiones, chat, SDK antifraude y cualquier cosa que un equipo de marketing haya agregado el trimestre pasado. Esos scripts se ejecutan en el mismo navegador que el flujo de pago.

AspectoStripe lo cubreSigue siendo tuyo (6.4.3 / 11.6.1)
Entrada y almacenamiento del número de tarjetaSí, dentro del iframe alojado de StripeNo
La propia atestación de PCI DSS de StripeSí, como proveedor de servicios de Nivel 1No
Scripts de terceros en la página de pagoNoSí, inventaría y justifica cada uno (6.4.3)
Integridad de esos scripts (sin manipulación)NoSí, confirma la integridad (6.4.3)
Detección de manipulación y de cambios más alertasNoSí, implementa un mecanismo (11.6.1)
Encabezados HTTP que afectan la seguridadNoSí, monitorea cambios no autorizados (11.6.1)
Tu SAQ y AoC como comercioNoSí, te autoevalúas y atestas

La división es clara. Stripe es responsable de los datos de la tarjeta, tú eres responsable del entorno del navegador a su alrededor. PCI DSS 4.0.1 hizo explícita esa segunda columna.

¿Qué exigen realmente los requisitos 6.4.3 y 11.6.1?

Ambos requisitos se introdujeron para abordar los ataques del lado del cliente, en los que se inyecta código malicioso en scripts que se ejecutan en el navegador del cliente. Pasaron a ser obligatorios el 31 de marzo de 2025 (PCI Security Standards Council, PCI DSS v4.0.1).

Requisito 6.4.3: gestiona los scripts de tu página de pago. Para cada script que se carga y se ejecuta en la página de pago en el navegador del consumidor, debes:

  • Mantener un inventario de todos los scripts, con justificación por escrito de por qué cada uno es necesario.
  • Autorizar cada script antes de que se agregue o se modifique.
  • Confirmar la integridad de cada script verificando que no ha sido modificado sin autorización.

Requisito 11.6.1: detecta la manipulación y alerta. Debes implementar un mecanismo de detección de cambios y de manipulación que:

  • Alerte al personal sobre la modificación no autorizada de los encabezados HTTP y los scripts de la página de pago, tal como los recibe el navegador del consumidor.
  • Evalúe la página recibida al menos una vez cada siete días, o con la frecuencia que defina tu análisis de riesgo dirigido.

6.4.3 dice conoce y autoriza tus scripts, y 11.6.1 dice obsérvalos en tiempo real y alerta cuando cambien. Ninguno de los dos lo satisface tu procesador de pagos, porque ninguno trata de adónde van los datos de la tarjeta. Tratan de lo que se ejecuta en el navegador. Para un recorrido paso a paso, consulta nuestra guía práctica sobre el cumplimiento de PCI 6.4.3 y 11.6.1.

¿Me aplican estos requisitos si tengo SAQ A?

Los equipos quedan atrapados aquí. El SAQ A es la autoevaluación más corta, reservada para comercios que externalizan por completo el manejo de los datos del titular de la tarjeta. Es tentador leer "completamente externalizado" como "nada del lado del cliente de qué preocuparse." Ya no es así como el PCI SSC lo trata.

El SAQ A de enero de 2025 eliminó 6.4.3 y 11.6.1 del cuestionario en sí, y luego agregó un nuevo criterio de elegibilidad en su lugar. Para usar el SAQ A ahora tienes que confirmar que tu página de pago no es susceptible a ataques de scripts que pudieran afectar tus sistemas de comercio electrónico, y que cada elemento entregado al navegador proviene directamente de un procesador que cumple con PCI DSS (PCI Security Standards Council, 2025). Los comercios que no puedan hacer esa confirmación quedan fuera del SAQ A y tienen que satisfacer los requisitos de scripts de la página de pago de forma directa. De cualquier manera, el riesgo de scripts del lado del navegador ahora es tu problema. Confirma la versión actual de tu SAQ A y sus criterios de elegibilidad en la Biblioteca de Documentos del PCI SSC antes de asumir que estás fuera de alcance.

El cambio se remonta a un evento específico. El incidente de Polyfill[.]io de 2024 mostró cómo un único script de terceros de confianza, incrustado en más de 490.000 sitios, puede volverse malicioso de la noche a la mañana y servir código de skimming o de redirección a las páginas de checkout (Sansec, 2024). Un comercio con SAQ A usando Stripe Checkout quedó tan expuesto como cualquier otro, porque el script malicioso llegó a través de la propia página del comercio, no de la de Stripe.

Por qué la página de pago sigue siendo tu superficie de ataque

El problema central es dónde se ejecuta el código. El iframe de Stripe aísla los campos de la tarjeta, pero los ataques del lado del cliente rara vez apuntan directamente al campo de la tarjeta. Apuntan a la página que lo rodea.

  • Superposiciones de formularios. Un script comprometido puede dibujar un formulario de tarjeta falso encima del iframe de Stripe, o junto a él, y capturar datos antes de que lleguen a Stripe.
  • Redirección del checkout. El código inyectado puede enviar a un comprador a una página de pago falsa en medio del flujo.
  • Recolección de datos. Un script de analítica o de chat manipulado puede leer nombre, correo electrónico, dirección y detalles del pedido desde el DOM y exfiltrarlos a un dominio controlado por el atacante.
  • Debilitamiento de encabezados. Encabezados HTTP que afectan la seguridad, como Content-Security-Policy, al ser modificados pueden abrir la puerta a los scripts anteriores, razón por la cual 11.6.1 nombra los encabezados de forma explícita.

El e-skimming no es un caso extremo poco común. El web skimming estilo Magecart ha golpeado a miles de sitios de comercio electrónico, y la técnica persiste porque el navegador es difícil de monitorear desde el servidor. En el Verizon DBIR de 2024, los datos de tarjetas de pago representaron el 25% de los registros vulnerados en el sector minorista, y el comercio minorista es señalado como el terreno propio de los actores de Magecart que insertan código malicioso en las páginas de checkout (Verizon, 2024). Tanto tus registros del servidor como el panel de Stripe se verán normales mientras un skimmer se ejecuta en los navegadores de tus clientes.

Por eso los requisitos viven en el navegador, no en el backend. Para aprender cómo estos ataques eluden los controles del lado del servidor, consulta nuestra guía de seguridad del lado del cliente.

Cómo satisfacer 6.4.3 y 11.6.1 en la práctica

Puedes cumplir con estos requisitos de forma manual: mantener una hoja de cálculo de cada script, justificar cada uno, calcular su hash y revisar la página de pago renderizada semanalmente en busca de cambios. Para un sitio con un puñado de scripts estáticos, eso podría aguantar. Para un checkout real donde un gestor de etiquetas inyecta scripts de forma dinámica, el enfoque manual se desmorona rápido y produce evidencia en la que los auditores no confían.

La respuesta operativa es el monitoreo continuo y automatizado de scripts, diseñado para la página de pago. cside PCI Shield está diseñado para satisfacer ambos requisitos de forma directa:

  • Inventario y justificación automatizados (6.4.3). cside descubre cada script que se ejecuta en tu página de pago, construye el inventario y te permite registrar la autorización y la justificación en un solo lugar, con revisión de un clic y asistida por IA.
  • Detección de integridad y de manipulación en tiempo real (11.6.1). cside monitorea los scripts y los encabezados HTTP que afectan la seguridad de forma continua y alerta sobre cambios no autorizados, en lugar de muestrear con un cron semanal y esperar que nada se haya colado entre revisiones.
  • Evidencia lista para auditoría. cside archiva cada versión de cada script con su historial completo, para que le entregues a un QSA registros forenses en lugar de suposiciones sobre el comportamiento.

El punto no es reemplazar a Stripe. Stripe y una capa de monitoreo de scripts resuelven mitades distintas del mismo panorama de cumplimiento: Stripe saca los datos de la tarjeta del alcance, y cside cubre los requisitos del lado del navegador que Stripe te deja a ti.

En resumen

Usar Stripe es una forma inteligente de reducir el alcance de PCI, y puede ponerte en el SAQ A. No hace que cumplas por completo con PCI, porque los requisitos 6.4.3 y 11.6.1 te hacen responsable de los scripts y encabezados de tu página de pago, donde los campos alojados de Stripe no tienen alcance. Esos requisitos son obligatorios, y la propia elegibilidad para el SAQ A ahora depende de confirmar que tu página de pago está protegida contra la manipulación de scripts.

Trata la página de pago como tu superficie de ataque, inventaría y autoriza cada script, e implementa detección de manipulación en tiempo real. Para la parte operativa de eso, consulta cside PCI Shield y seguridad del lado del cliente, o agenda una demo para repasar tu checkout.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

No. Stripe es un proveedor de servicios de Nivel 1 de PCI DSS, y usar sus campos alojados o Checkout reduce tu alcance de PCI y puede calificarte para el SAQ A, que es más corto. Pero el cumplimiento de PCI sigue siendo tu responsabilidad como comercio. Stripe se encarga de los datos del titular de la tarjeta que procesa en sus propios sistemas. No certifica tu sitio web. Los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1, que cubren los scripts que se ejecutan en tu página de pago, siguen siendo tu obligación incluso cuando Stripe procesa el pago.

El requisito 6.4.3 dice que debes gestionar cada script que se carga y se ejecuta en el navegador en tu página de pago. Para cada script tienes que mantener un inventario, una justificación por escrito de por qué es necesario y un método para confirmar su integridad, es decir, que no ha sido modificado sin autorización. El objetivo es impedir que scripts no autorizados o manipulados roben datos del titular de la tarjeta en el navegador del cliente.

El requisito 11.6.1 dice que debes implementar un mecanismo de detección de cambios o de manipulación que te alerte cuando se modifican los scripts de tu página de pago o sus encabezados HTTP que afectan la seguridad. El mecanismo tiene que evaluar la página de pago tal como la recibe el navegador del consumidor al menos cada siete días, o con la frecuencia que defina tu análisis de riesgo dirigido. Existe para detectar el e-skimming estilo Magecart inyectado en el código del lado del cliente.

Indirectamente, sí. El SAQ A de enero de 2025 eliminó los requisitos 6.4.3 y 11.6.1 del cuestionario en sí, pero el PCI SSC agregó un nuevo criterio de elegibilidad: debes confirmar que tu página de pago no es susceptible a ataques de scripts que pudieran afectar tus sistemas de comercio electrónico, y que todos los elementos entregados al navegador provienen directamente de un procesador que cumple con PCI DSS (PCI Security Standards Council, 2025). Los comercios que no puedan confirmar eso no pueden usar el SAQ A y deben satisfacer los requisitos de scripts de la página de pago de forma directa. Confirma la versión actual de tu SAQ A en la Biblioteca de Documentos del PCI SSC.

Porque la página en sí sigue cargándose en el navegador de tu cliente, en tu dominio, con tus scripts alrededor. El iframe alojado de Stripe protege la entrada del número de tarjeta, pero no controla las etiquetas de analítica, los widgets de chat, las herramientas de pruebas A/B y otros scripts de terceros que comparten la página. Un script comprometido puede superponer un formulario falso, redirigir el checkout o leer lo que no debería. Ese riesgo del lado del navegador es lo que abordan 6.4.3 y 11.6.1.

cside PCI Shield construye y mantiene el inventario de scripts, captura la justificación y monitorea cada script de tu página de pago en busca de cambios no autorizados en tiempo real, alertando sobre la manipulación de scripts y de encabezados HTTP que afectan la seguridad. Archiva cada versión de cada script con su historial completo, para que le entregues a un QSA registros forenses en lugar de suposiciones sobre el comportamiento. cside PCI Shield está validado por QSA para aprobar los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo