LinkedIn Tag
PCI Shield

Pasa PCI 4.0.1 Mientras Proteges a tus Usuarios

Las CSP, agentes JS y rastreadores pueden marcar la casilla de cumplimiento pero no protegen verdaderamente a los usuarios. Ve cómo VikingCloud validó nuestra solución PCI DSS.

Por Qué Importa PCI DSS v4.0.1

Los ataques de skimming y formjacking están creciendo rápidamente. Atacan los scripts en los navegadores de tus clientes, no tus servidores

6.4.3 y 11.6.1 ahora exigen un inventario de scripts, monitoreo en tiempo real y alertas para cambios no autorizados.

Las CSP, rastreadores y agentes pueden marcar la casilla de cumplimiento, pero los atacantes pasan fácilmente junto a ellos.

WITH CSIDE
Reduce el tiempo de preparación de auditorías con informes PDF semanales
Monitorea scripts en páginas de pago con cobertura del 100% para 6.4.3
Las verificaciones continuas de encabezados cumplen con 11.6.1 sin quemar recursos de TI
Protege a los usuarios de e-skimming, ataques Magecart y otros ataques del lado del cliente

Cómo Funciona PCI Shield

Script Inventory
Scanning...
Inventario de Scripts Visibilidad completa de scripts en todas las páginas (incluidas las páginas de pago para 6.4.3)
payment-form.js
<script>
const form =
document.querySelector('#pay');
form.addEventListener('submit', (e) => {
processPayment(e.data);
});
</script>
Detección de Manipulación Alertas instantáneas para cambios no autorizados (11.6.1) y modificaciones de scripts
ScriptsExecution
Monitoring
Seguridad de Scripts Visibilidad de la ejecución de código con bloqueo incorporado para scripts maliciosos
PCI Compliance
Weekly
Jan 8 – Jan 15, 2026
Scripts Verified
47
Changes
3
Threats
0
11.6.1 Compliance100%
6.4.3 Compliance100%
Generating report...
Informes Semanales Informes de cumplimiento automatizados en tu bandeja de entrada.

Elige Tu Enfoque de Seguridad

cside ya no es solo un Gatekeeper. Selecciona el modo que mejor se adapte a tus necesidades de seguridad y requisitos técnicos.

Modo Directo

Más Fácil

Me importa la seguridad del lado del cliente y necesito algo que sea fácil de explicar al resto del equipo.

Verificamos comportamientos de scripts en el navegador y obtenemos los scripts de nuestro lado. No nos colocamos en el camino de un script a menos que nos lo pidas explícitamente.

Pros

  • Más fácil de implementar
  • Sin impacto en el rendimiento
  • Capacidad de detener acciones de scripts o bloquear por URL, hash o dominio

Cons

  • No siempre garantiza verificar la misma carga útil del script que obtuvo el usuario - pero está cerca
  • Sin ganancias de rendimiento en scripts estáticos u optimizables

Implementation

  • Agrega nuestro script a tu sitio web
  • Aún posible colocar cside entre scripts no confiables y el usuario final

Operating Model: Permitir que el script se sirva directamente para scripts en los que confío, los scripts en los que no confío obtienen el tratamiento de seguridad completo.

Modo Guardián

Más Seguro

Soy un objetivo de alto valor y necesito control de seguridad completo.

Verificamos comportamientos de scripts y cside se coloca en el medio entre el tercero no controlado y el usuario final - solo scripts que no nos dijiste que no nos coloquemos en el medio.

Pros

  • Visibilidad completa
  • Control completo
  • Aumento de rendimiento en algunos scripts
  • Sabemos que lo que el usuario obtuvo es lo que verificamos

Cons

  • Difícil de explicar a tus colegas
  • En scripts altamente dinámicos se puede agregar latencia

Implementation

  • Agrega nuestro script a tu sitio
  • Marca scripts en los que confías y que no necesitan que cside los sirva. Por defecto, no hacemos proxy de algunos scripts que son incompatibles con ser servidos desde una URL diferente

Operating Model: Todos los scripts pasan por cside excepto algunos.

Modo Escaneo

Más Rápido

No tengo la capacidad de agregar un script al sitio web.

Inteligencia de amenazas de cside recopilada por miles de otros sitios web con miles de millones de visitantes combinados.

Pros

  • Económico
  • Rápido y fácil de configurar

Cons

  • Los ataques del lado del cliente son dinámicos, un escaneo estático está diseñado para ser menos probable que detecte un ataque
  • Un ataque altamente dirigido podría tener éxito al evitar la detección

Implementation

  • No se requiere instalación de script
  • Aprovecha la inteligencia colectiva de amenazas

Operating Model: Escaneo estático impulsado por inteligencia de amenazas de nuestra red.

Por Qué Lo Abordamos de Esta Manera

A diferencia de los sistemas operativos modernos, los navegadores no tienen soporte nativo para proveedores de seguridad de terceros. CSP y SRI solo cubren parte del problema, así que tuvimos que ser creativos. La mayoría de las detecciones del lado del cliente usando JavaScript en el navegador son fáciles de hacer ingeniería inversa y eludir. Desafortunadamente, las detecciones del lado del cliente demasiado estrictas podrían romper algunas bibliotecas del lado del cliente. Lo que esencialmente hace un script de seguridad del lado del cliente es envolver APIs que pueden ser utilizadas por malos actores y monitorear qué scripts las usan. El problema es que no todos los scripts funcionan bien con eso. Por esa razón, hemos tomado un enfoque mucho más elaborado para los usuarios más conscientes de la seguridad. Al combinar las detecciones en el navegador con detecciones en nuestro propio motor usando nuestro motor de control de acceso propietario, creamos un escenario equilibrado del mejor de todos los mundos. Equilibrando capacidad de detección con facilidad de uso con resistencia y, en última instancia, dando al cliente la capacidad de elegir el enfoque.

Diseñado para Equipos que Enfrentan Desafíos PCI

eCommerce

protege cada checkout y mantiene excelentes relaciones con adquirentes.

Proveedores de Servicios de Pago

ofrece seguridad compatible y de valor agregado a miles de comerciantes.

Aerolíneas y Tránsito

Los flujos de reserva complejos y los boletos de alto valor aumentan el riesgo de ataque.

Hospitalidad

Las tarjetas de crédito usadas para viajes son objetivos principales debido a límites más altos.
ascii art background

PCI Compliance 4.0.1: Unraveling E-Skimming, Script Security, and PCI DSS Compliance

Watch the complete discussion between cside and VikingCloud experts covering the latest PCI DSS 4.0.1 requirements, e-skimming prevention strategies, and practical implementation guidance for requirements 6.4.3 and 11.6.1.

Recorded: January 25, 2025
Duration: 58:42
2,156 views

Expert Speakers

Simon Wijckmans
Simon Wijckmans
CEO
cside
Alexander Norell
Alexander Norell
Global Security Architect
VikingCloud
Watch Full Recording
58:42
2,156 professionals have watched
Watch Full Session

Topics

In-depth analysis of PCI DSS 4.0.1 requirements 6.4.3 & 11.6.1
Exploration of e-skimming attack vectors and prevention strategies
Guidance on script inventory and authorization processes
Real-world insights into compliance implementation
POWERED BY
vendor logo
vendor logo

Por Qué cside Supera las Alternativas

Nuestro Gatekeeper ofrece ventajas que las herramientas tradicionales no pueden igualar.

vs. Soluciones Basadas en Rastreadores
vs. Content-Security Policy (CSP)
vs. Agentes del Lado del Cliente
Ve comportamiento real de usuarios, no vistas de rastreadores sanitizadas Monitorea cargas útiles de scripts, no solo fuentes Monitoreo indetectable que los atacantes no pueden eludir
Captura ataques dirigidos a segmentos específicos Detecta violaciones en proveedores de terceros confiables Seguimiento completo del comportamiento histórico de scripts
Detecta amenazas entre escaneos periódicos Maneja scripts dinámicos que las CSPs no pueden controlar A prueba de futuro contra técnicas en evolución
Con un Enfoque de Proxy Híbrido
Visibilidad completa de scripts: Sabemos exactamente lo que ve el usuario final.
Respuesta inmediata a amenazas: No esperamos escaneos periódicos.
Seguimiento histórico: Rastreamos cambios a lo largo del tiempo para mejores conocimientos de seguridad.
Elección script por script de modo proxy completo o solo captura.
Sin impacto en el rendimiento: Aseguramos un SLA del 99.99% con un diseño fail-open.
CONTACTANOS

Por Qué los QSAs Líderes Prefieren cside

SOLO CSIDE OFRECE
Un panel específico para PCI que facilita reportar sobre 6.4.3 y 11.6.1
Inspección de carga útil en tiempo real antes de que llegue al navegador
Detección de amenazas a nivel DOM, basada en tiempo y dinámica
Tu socio en seguridad web

Estamos a un mensaje de distancia

Como tu socio en seguridad web, queremos que puedas contactarnos fácilmente. Cada cliente obtiene acceso 1:1 a nuestro equipo a través de Slack y Microsoft Teams. Respondemos en minutos, ya sea que tengas una solicitud de funcionalidad, preguntas o ideas.

Canal compartido de Slack o Microsoft Teams para cada cliente
Acceso directo a nuestros expertos en seguridad
Soporte conversacional fácil
Tiempos de respuesta en minutos, no días

FAQ

Preguntas Frecuentes

Ver todas las preguntas frecuentes

La gestión de scripts de páginas de pago es el enfoque de 6.4.3. Requiere que autorices cada script, asegures la integridad de scripts y mantengas un inventario completo con una justificación escrita de por qué cada script es importante. 11.6.1 te exige tener monitoreo continuo para detectar cambios no autorizados en encabezados HTTP y contenido de páginas de pago, incluyendo alertas enviadas al personal y evaluaciones semanales.

Es la última versión del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago con el objetivo de proteger los datos del titular de la tarjeta mediante estrictos requisitos de monitoreo de seguridad. Mientras tu negocio procese, almacene o transmita datos de tarjetas de crédito, debes cumplir con estas regulaciones para evitar multas cuantiosas, tasas de seguro más altas y posible interrupción del negocio. Este estándar es aplicable a todos los comerciantes, procesadores, adquirentes y proveedores de servicios que manejan datos de tarjetas de pago. Dependiendo de tu volumen de transacciones y la gravedad de cualquier violación, el incumplimiento puede resultar en multas que van desde miles hasta millones de dólares.

El monitoreo activo y constante es requerido para 6.4.3, mientras que el monitoreo semanal, o con la frecuencia definida en el análisis de riesgos dirigido de tu organización, es requerido para 11.6.1. Pero, dado que los ciberataques ocurren en tiempo real en cualquier momento, el monitoreo continuo es la mejor solución.

Las penalizaciones varían, pero van desde $5,000 hasta $500,000 por incidente. Esto se basa en tu procesador de pagos y volumen de transacciones. Además de las multas, también puedes enfrentar tarifas de transacción aumentadas, primas de seguro más altas, pérdida de privilegios de procesamiento de pagos y altos costos por remediación de violación de datos y demandas. Una violación de datos de tarjetas de pago supera los $4 millones en promedio cuando incluyes investigaciones forenses, honorarios legales, notificaciones a clientes e interrupción del negocio.

La protección más completa es proporcionada por soluciones basadas en gatekeeper al interceptar y analizar cada solicitud de script en tiempo real. Este enfoque es mejor que los escaneos periódicos o las detecciones basadas en navegador que los actores maliciosos pueden eludir. La visibilidad del comportamiento del script, las capacidades de bloqueo de amenazas inmediatas y los informes de cumplimiento precisos que capturan todas las variaciones de scripts son algunas de las características que el enfoque Gatekeeper de cside puede proporcionar. Viking Cloud ha auditado y aprobado de forma independiente este método. Esto proporciona una capa adicional de confianza de que tu estrategia de cumplimiento cumple con los más altos estándares de la industria mientras proporciona protección de seguridad superior.