El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de directrices que garantiza la seguridad de las transacciones con tarjetas a nivel mundial. Creado por el Consejo de Estándares de Seguridad PCI, su objetivo es proteger contra el robo de datos y el fraude en transacciones con tarjetas de débito y crédito.
PCI DSS 4.0.1 se aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) y/o datos de autenticación sensibles (SAD), o que podrían afectar la seguridad del entorno de datos de titulares de tarjetas (CDE). Esto incluye todas las entidades de procesamiento de cuentas de tarjetas de pago, como comerciantes, procesadores, adquirentes, emisores y otros proveedores de servicios. Una nueva adición a la versión 4.0.1 es el monitoreo y gestión de JavaScript de terceros, abordado por los requisitos 6.4.3 y 11.6.1.
El 30 de enero de 2025, PCI DSS anunció una actualización de los requisitos 6.4.3 y 11.6.1. Las empresas de nivel A del Cuestionario de Autoevaluación están exentas, aunque deben confirmar que su sitio no es susceptible a ataques de scripts que puedan afectar el sistema de comercio electrónico del comerciante.
SAQ A, diseñado para los comerciantes menos vulnerables, los exime de ciertos requisitos de PCI DSS dado que no almacenan Datos del Titular de la Tarjeta (CHD). Sin embargo, el monitoreo integral sigue siendo crítico para la seguridad.
cside automatiza los requisitos 6.4.3 y 11.6.1 con monitoreo de scripts en tiempo real, verificación de integridad e informes completos listos para auditoría.
Como parte de las adiciones de PCI DSS 4.0.1 que se volvieron obligatorias el 31 de marzo de 2025, el requisito 6.4.3 exige a las empresas:
En páginas que manejan información sensible del usuario (tarjetas de pago, información de salud, PII) necesitas tener un mecanismo para monitorear scripts de terceros, qué están haciendo en los navegadores de tus usuarios, y alertar a los equipos de seguridad cuando los scripts se comportan de manera sospechosa.
Obligatorio desde el 31 de marzo de 2025 para cualquier sitio web que acepte pagos digitales
Como parte de las adiciones de PCI DSS 4.0.1 que se volvieron obligatorias el 31 de marzo de 2025, el requisito 11.6.1 exige a las empresas:
Los encabezados HTTP son reglas que le dicen al navegador de un usuario cómo manejar el contenido en una página. Alterar esos encabezados (por ejemplo, mediante un script malicioso) puede debilitar las protecciones de seguridad. PCI DSS 11.6.1 requiere que las empresas tengan un mecanismo que verifique regularmente (al menos una vez cada siete días) cambios no autorizados en los encabezados y alerte al equipo de seguridad cuando ocurran.
Requiere capacidades técnicas de monitoreo y evaluación
*Definiciones basadas en PCI DSS v4.0.1 - Jun. 2024. Esta es la versión más actualizada a septiembre de 2025. Para ver documentos oficiales, visite la biblioteca PCI SSC.
Muchas soluciones tradicionales solo buscan cumplir con la casilla de cumplimiento, no entregar el más alto nivel de seguridad. Los enfoques basados en rastreadores escanean periódicamente y pueden ser evadidos. Las CSP abordan la fuente, no la carga útil. Los agentes del lado del cliente pueden ser detectados y eludidos.
cside utiliza una solución proxy que se encuentra entre los scripts de terceros y el navegador. Vemos cada solicitud de script y carga útil, proporcionando alertas en tiempo real y capacidades de bloqueo antes de que los usuarios se vean comprometidos.
Visibilidad completa del comportamiento de los scripts, seguimiento histórico y la capacidad de detectar amenazas dinámicas o específicas del usuario que otras soluciones no detectan.
| Criterios | Por qué Importa | Cuáles son las Consecuencias | CSP | Crawler | Basado en JS | Híbrido |
|---|---|---|---|---|---|---|
| Protección en Tiempo Real | Los ataques pueden ocurrir entre escaneos o en los datos excluidos cuando se muestrean | Detección retrasada = violaciones de datos activas | | | | |
| Análisis Completo de Carga Útil | Garantiza una visibilidad profunda de los comportamientos maliciosos dentro del código del script mismo | Las amenazas pasan desapercibidas a menos que la fuente sea conocida en una fuente de amenazas | | | | |
| Detección Dinámica de Amenazas | Necesario para respuesta a incidentes, auditoría y cumplimiento | Evita compensaciones entre rendimiento y seguridad | | | | |
| Seguimiento Histórico y Forense 100% | Necesario para respuesta a incidentes, auditoría y cumplimiento | Evita compensaciones entre rendimiento y seguridad | | | | |
| Sin Impacto en el Rendimiento | Evita compensaciones entre rendimiento y seguridad | Los tiempos de carga de página más altos pueden reducir las conversiones y perjudicar la UX | | | | |
| Protección contra Evasión | Impide que los atacantes eviten los controles mediante ofuscación del DOM o evasión | Las amenazas sigilosas continúan sin detectarse | | | | |
| Certeza de que el Script Visto por el Usuario es Monitoreado | Alinea el análisis con lo que realmente se ejecuta en el navegador | Brechas entre lo que se revisa y lo que realmente se ejecuta | | | | |
| Análisis de Scripts Impulsado por IA | Detecta amenazas nuevas o en evolución mediante modelado de comportamiento | La dependencia de actualizaciones manuales, fuentes de amenazas o reglas = detección lenta y propensa a errores | | | | |
| Complejidad de Implementación y Cronograma | Impacta el tiempo hasta el valor y los costos de recursos internos | Los cronogramas de implementación largos reducen la agilidad | Alto | Medio | Medio | Bajo |
| Puede cumplir con el requisito 11.6.1 | 11.6.1 se relaciona con el monitoreo de cambios en los encabezados de seguridad, así como en el contenido del script mismo | No monitorear los encabezados de seguridad viola 11.6.1: los encabezados faltantes o alterados señalan posibles ataques | | | | |
Las empresas líderes confían en cside
Diseñado para equipos de seguridad que necesitan visibilidad dentro del navegador, cside ofrece defensa comprobada contra ataques modernos del lado del cliente mientras soporta los principales marcos de cumplimiento. Tu socio de confianza para cumplimiento regulatorio en el navegador.
Visita nuestro Centro de Confianza
GDPR 
SOC 2 
PCI DSS *Esta página describe las capacidades del producto y cómo pueden respaldar su programa de cumplimiento. No es asesoramiento legal. Los requisitos varían según la organización y la jurisdicción.
