Blog

3 consejos: la forma más rápida de cumplir con los requisitos 6.4.3 y 11.6.1 de PCI DSS

La mayoría de los equipos complican demasiado los requisitos 6.4.3 y 11.6.1 de PCI DSS. Descubre los caminos más rápidos hacia el cumplimiento y por qué los QSA recomiendan herramientas en lugar de soluciones caseras.

Jan 26, 2026 • 7 min read

Juan Combariza Growth Marketer

Imagen de portada del blog: La forma más rápida de cumplir con los requisitos 6.4.3 y 11.6.1 de PCI DSS

TL;DR - 3 consejos

Usar una solución de proveedor es más rápido y seguro que construir controles internamente. Los QSA encuentran más fácil evaluar herramientas establecidas que mecanismos DIY personalizados.
Los escáneres remotos pueden desplegarse en menos de un día, pero pueden ser rechazados como control válido. La seguridad multicapa tarda días o semanas, pero ofrece protección real y elimina el riesgo de fallar la auditoría.
Herramientas como cside ofrecen una opción de autodespliegue para que las pequeñas empresas puedan estar operativas lo antes posible, además de una opción de implementación acelerada para empresas con una fecha de auditoría ajustada.

Por qué los QSA recomiendan herramientas de proveedor para los requisitos 6.4.3 y 11.6.1 de PCI DSS

Durante nuestro webinar con BARR Advisory, Kyle Kofsky señaló que la recomendación predeterminada de los QSA es utilizar una herramienta de proveedor para los requisitos 6.4.3 y 11.6.1. Intentar gestionar estos requisitos con herramientas construidas internamente supone una carga enorme y se convierte en un proyecto interminable debido al mantenimiento continuo.

Notas de un experto – Kyle Kofsky – Lead QSA, BARR Advisory

"Con CSP y SRI, aunque entiendas todos estos conceptos, ¿tiene tu organización los recursos necesarios para implementar estos métodos? ¿Se pueden mantener los inventarios, se pueden mantener los métodos de seguridad a medida que los ataques evolucionan? Esta es una evaluación continua año tras año y debes estar en cumplimiento todo el tiempo. Para muchas organizaciones, esta carga es demasiado grande. Por eso las herramientas de terceros se están volviendo muy populares para gestionar estos scripts y la seguridad de las páginas de pago."

Extraído del webinar How to Pass PCI DSS 4.0.1 (Requirements 6.4.3 & 11.6.1)

Esto no implica que Kyle Kofsky o BARR Advisory hayan recomendado cside de forma individual.

Hemos visto repetidamente cómo equipos invierten meses construyendo controles internos, solo para quedarse atascados en un requisito técnico y terminar optando por una herramienta de proveedor después de haber destinado recursos a su proyecto DIY. Este artículo explica cómo cumplir con los requisitos 6.4.3 y 11.6.1 de PCI DSS si decides construirlo internamente.

Es mucho más rápido (y seguro) usar un proveedor como cside, que puede estar operativo en días y viene con paneles de control y reportes prediseñados para la revisión del QSA. Para los equipos que valoran el control, cside puede integrarse con SIEMs y otros elementos de tu stack de defensa.

¿Cuánto tiempo lleva implementar una herramienta de proveedor para los requisitos 6.4.3 y 11.6.1 de PCI DSS?

Escáneres remotos (1 día, seguridad limitada):

También llamados "crawlers" o "escáneres sin agente", estas soluciones pueden implementarse en 1 día. Monitorean tu sitio web de forma externa, lo que significa que no se requiere código ni instalación. La simplicidad técnica de este enfoque es también su mayor desventaja. Si bien es la forma más rápida de obtener monitoreo básico de scripts de terceros, las capacidades de seguridad son extremadamente limitadas.

Esto conlleva el riesgo de no superar los requisitos de client-side de PCI DSS en tu auditoría. El objetivo de los requisitos 6.4.3 y 11.6.1 es proteger a los titulares de tarjetas reduciendo la posibilidad de web skimming en tus páginas de pago. Los escáneres remotos no pueden bloquear ataques. Analizan en busca de amenazas potenciales, pero pueden ser fácilmente eludidos mediante código condicional. Un atacante puede simplemente detectar los crawlers y servirles código limpio mientras sirve código malicioso a los usuarios.

Le preguntamos a un QSA (que prefirió permanecer en el anonimato) si un escáner superaría la auditoría:

Si le preguntas a 5 QSA, obtendrás 6 opiniones diferentes. El PCI Council dejó el lenguaje vago en cuanto a los controles específicos aprobados para los requisitos 6.4.3 y 11.6.1. Esa parte queda a criterio de los comerciantes. Hemos escuchado que algunos auditores aceptan los escáneres como controles válidos, mientras que otros los rechazan porque no pueden bloquear scripts.

Nuestros propios ingenieros de seguridad recomiendan encarecidamente una solución con capacidades de protección más sólidas. Dicho esto, cside sí ofrece una solución de solo escaneo remoto para empresas que priorizan la velocidad de implementación sobre la seguridad. Puedes actualizar a una protección más robusta en cualquier momento.

Seguridad multicapa (días a semanas, protección máxima):

Soluciones como cside combinan monitoreo client-side, escáneres remotos y análisis de scripts con IA personalizada para proteger tus páginas. Estas soluciones pueden implementarse en días o semanas dependiendo del alcance de tu implementación.

Hemos visto pequeñas empresas generar reportes en tiempo real en menos de una semana. Las empresas más grandes pueden tardar más debido a procesos legales, PoC formales y pruebas en preproducción. Varios de nuestros clientes enterprise han alcanzado el despliegue completo en menos de un mes.

Aunque este enfoque añade un par de semanas al cronograma de implementación, elimina el riesgo de fallar la auditoría por controles inadecuados. cside ha sido revisado y validado por VikingCloud como capaz de cumplir los requisitos:

cside demostró la capacidad de cumplir con los requisitos 6.4.3 y 11.6.1 de PCI DSS. La evaluación técnica y las pruebas respaldaron la conclusión de que la solución cumple los requisitos mencionados cuando se despliega correctamente.

VikingCloud, Ver el informe detallado de VikingCloud aquí.

Autodespliegue para herramientas de los requisitos 6.4.3 y 11.6.1 de PCI DSS

Una forma de acelerar el cumplimiento de los requisitos 6.4.3 y 11.6.1 de PCI DSS es utilizar una herramienta con opción de autodespliegue, como cside. Proveedores similares como Feroot y Jscrambler requieren una llamada de demostración antes de darte acceso a su plataforma. Luego viene el proceso de ventas formal antes de que pueda comenzar cualquier implementación.

Con el modelo de autodespliegue de cside puedes crear inmediatamente una cuenta gratuita, configurar protección básica en tus páginas y luego actualizar para una cobertura de cumplimiento completa, todo sin necesidad de hablar con un equipo de ventas.

Esto es especialmente útil para:

Pequeñas empresas (menos de 500k páginas vistas mensuales) que quieren autodesplegar completamente usando documentación para desarrolladores y recursos guiados, sin necesidad de un equipo de soporte.
Desarrolladores/responsables de cumplimiento en empresas que quieren acceso práctico para evaluar la plataforma antes de recomendar un proveedor a un comité de compras.

¿Qué tan difícil es instalar una herramienta de proveedor para los requisitos 6.4.3 y 11.6.1 de PCI DSS?

Escáneres remotos:

Dificultad: Fácil, sin código
Pasos de instalación: Introduce una lista de dominios o URLs a monitorear. El proveedor ejecuta los escaneos automáticamente y te envía reportes o un panel de control con información relevante.

Seguridad multicapa (días a semanas, protección máxima):

Dificultad: Fácil, requiere ediciones de código
Pasos de instalación: Introduce tu dominio. Añade una línea de código a tu sitio web. Actualiza las reglas de CSP si es necesario para permitir el script del proveedor.

cside ofrece múltiples métodos de implementación, incluyendo opciones amigables para desarrolladores como la configuración basada en CLI o un paquete de Next.js.

¿Puedo cumplir con los requisitos 6.4.3 y 11.6.1 de PCI DSS en 30 días?

Sí, pero los plazos dependen del tamaño de tu despliegue. Hemos visto clientes implementar cside en cuestión de días y preparar evidencias de auditoría poco después, completando el proceso en menos de un mes. Las empresas más grandes deben tener en cuenta los procesos legales, las demostraciones de PoC y la configuración técnica avanzada.

Si te estás preparando para una auditoría próxima, cside puede ayudarte a acelerar el proceso:

Para pequeñas empresas (menos de 500k páginas vistas mensuales): Crea una cuenta y autodesplega cside como tu mecanismo de protección client-side. Esto puede hacerse en cuestión de días a través de recursos guiados, documentación y acceso a soporte técnico cuando sea necesario.
Para empresas: Contacta con nuestro equipo, podemos acelerar el cronograma de implementación y ayudarte a construir una estrategia para alcanzar el cumplimiento más rápido.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

El camino más rápido es adoptar una solución de proveedor en lugar de construir controles internamente. Herramientas como cside pueden desplegarse en días e incluyen paneles de control y reportes de auditoría listos para el QSA desde el primer momento, eliminando semanas o meses de trabajo de ingeniería y preparación de evidencias.

Sí. cside ofrece una opción de autodespliegue que permite a los equipos configurar la protección sin necesidad de un proceso de ventas formal. Puedes crear una cuenta, desplegar la protección en tus páginas y comenzar a generar evidencias de auditoría de forma independiente.

Sí. Los escáneres remotos suelen ser la forma más rápida de generar un inventario de scripts y pueden estar activos en menos de un día sin necesidad de modificar el código. Sin embargo, tienen sus limitaciones: los escáneres observan desde el exterior, no pueden bloquear ataques y los QSA suelen considerarlos insuficientes debido a su cobertura de seguridad limitada.

Para la mayoría de los equipos, la implementación es sencilla. Las soluciones de proveedor como cside requieren cambios mínimos en el código y pueden desplegarse en cuestión de días, incluyendo pruebas en preproducción y soporte técnico para validar la instalación correcta.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.

Inventario y autorización de scripts PCI DSS 6.4.3: cómo construir el registro

Workflow de inventario y autorización de scripts para PCI DSS 6.4.3: campos de cada registro, quién aprueba y una fila de ejemplo.

Visualización abstracta en azul oscuro de conexiones de red que atraviesan una puerta de enlace circular

Cómo arreglamos la gestión de timeouts de TLS en el Edge de cside

Cómo cside mejoró la fiabilidad de TLS en el Edge escrito en Rust sacando el trabajo del handshake del camino de accept de Axum y llevándolo a tareas de Tokio acotadas.

Cómo Bloquear ClaudeBot en Tu Sitio Web

ClaudeBot rastrea tu sitio para entrenar los modelos Claude de Anthropic. Aquí te explicamos cómo bloquearlo con robots.txt y rangos de IP, y qué se le sigue escapando al bloqueo.

Cómo Prevenir la Creación de Cuentas Falsas: Por Qué la Detección en la Capa del Navegador Captura lo que la Verificación de Email Pasa por Alto

La verificación de email confirma que existe un buzón. No puede ver el navegador. Aquí te explicamos por qué la detección en la capa del navegador captura la creación de cuentas falsas que ella pasa por alto.

Ataque a la cadena de suministro de Polyfill.io: cronología completa, análisis y lecciones (2024–2026)

Una cronología completa y documentada del ataque a la cadena de suministro de Polyfill.io, desde la venta del dominio en 2024 hasta las sanciones a Funnull en 2025, y cómo eliminarlo hoy.