Skip to main content
Blog
Blog

Shopify vous rend-il conforme PCI DSS ? Ce qu'exigent encore les exigences 6.4.3 et 11.6.1

Shopify est un prestataire de services PCI DSS de niveau 1, mais cela certifie les systèmes de Shopify, pas votre boutique. Les exigences 6.4.3 et 11.6.1 restent à votre charge.

Jul 15, 2026 9 min read
Shopify vous rend-il conforme PCI DSS ? Ce qu'exigent encore les exigences 6.4.3 et 11.6.1

L'utilisation de Shopify vous rend-elle conforme PCI DSS ?

Non. Shopify est un prestataire de services PCI DSS de niveau 1, et cette certification couvre l'infrastructure propre de Shopify, pas votre boutique. Les exigences 6.4.3 et 11.6.1 de PCI DSS 4.0.1 régissent les scripts s'exécutant sur votre page de paiement dans le navigateur du consommateur, et cette surface reste votre responsabilité quelle que soit la plateforme de paiement qui traite la transaction.

Cette distinction est particulièrement importante pour les commerçants qui supposent que la plateforme fait le travail de conformité à leur place. Shopify gère les données de paiement en toute sécurité. Il ne gère pas les scripts que vos applications, Pixels et intégrations chargent à côté.

Ce que Shopify couvre réellement (et ce qu'il ne couvre pas)

Shopify est un prestataire de services PCI DSS de niveau 1 certifié. Lorsqu'un client finalise son achat via le checkout hébergé de Shopify, les données sensibles de la carte sont capturées, transmises et stockées dans l'environnement de Shopify. C'est la réduction de périmètre que Shopify apporte, et elle est réelle.

Ce que Shopify ne fait pas, c'est assumer la responsabilité de chaque script s'exécutant sur la page de paiement. Votre boutique charge des scripts d'applications tierces, des balises analytiques, des widgets de fidélité, du chat en direct et des outils d'avis dans la même session de navigateur que le flux de paiement. Shopify certifie ses propres systèmes. Il ne certifie pas votre page de paiement.

ProblématiqueShopify le couvreVous en êtes encore responsable (6.4.3 / 11.6.1)
Saisie et stockage du numéro de carteOui, dans le checkout hébergé de ShopifyNon
Attestation PCI DSS propre de ShopifyOui, en tant que prestataire de niveau 1Non
Scripts ajoutés par vos applications ShopifyNonOui, inventorier et justifier chacun (6.4.3)
Shopify Pixels et balises analytiques sur le checkoutNonOui, chacun est dans le périmètre (6.4.3)
Intégrité des scripts d'applications et personnalisésNonOui, confirmer l'absence de modification non autorisée (6.4.3)
Détection des altérations et alertesNonOui, déployer un mécanisme (11.6.1)
En-têtes HTTP ayant un impact sur la sécuritéNonOui, surveiller les modifications non autorisées (11.6.1)
Votre SAQ marchand et AoCNonOui, vous vous auto-évaluez et attestez

La division est claire. Shopify est propriétaire des données de paiement et de son infrastructure. Vous êtes propriétaire de l'environnement navigateur de votre page de paiement. PCI DSS 4.0.1 a rendu cette deuxième colonne obligatoire.

Que requièrent concrètement les exigences 6.4.3 et 11.6.1 ?

Ces deux exigences traitent des attaques côté client, où du code malveillant est injecté dans des scripts s'exécutant dans le navigateur du client. Elles sont devenues obligatoires le 31 mars 2025 (PCI Security Standards Council, PCI DSS v4.0.1).

Exigence 6.4.3 : gérez les scripts de votre page de paiement. Pour chaque script chargé et exécuté sur la page de paiement dans le navigateur du consommateur, vous devez :

  • Maintenir un inventaire de tous les scripts, avec une justification écrite de la nécessité de chacun.
  • Autoriser chaque script avant son ajout ou sa modification.
  • Confirmer l'intégrité de chaque script en vérifiant qu'il n'a pas été modifié sans autorisation.

Exigence 11.6.1 : détecter les altérations et alerter. Vous devez déployer un mécanisme de détection des modifications et des altérations qui :

  • Alerte le personnel en cas de modification non autorisée des en-têtes HTTP et des scripts de la page de paiement, tels que reçus par le navigateur du consommateur.
  • Évalue la page reçue au moins une fois tous les sept jours, ou à une fréquence définie par votre analyse de risque ciblée.

L'exigence 6.4.3 dit de connaître et d'autoriser vos scripts, et l'exigence 11.6.1 dit de les surveiller et d'alerter lorsqu'ils changent. Shopify ne satisfait ni l'une ni l'autre, car toutes deux portent sur ce qui s'exécute dans le navigateur plutôt que sur la destination des données de carte.

Ces exigences s'appliquent-elles aux commerçants Shopify sous SAQ A ?

Le SAQ A est l'auto-évaluation la plus courte, réservée aux commerçants qui externalisent entièrement la gestion des données des titulaires de carte. Le checkout hébergé de Shopify peut vous rendre éligible au SAQ A, mais uniquement si votre page de paiement remplit une condition.

La mise à jour de janvier 2025 du SAQ A a supprimé les exigences 6.4.3 et 11.6.1 du questionnaire lui-même, puis a ajouté un nouveau critère d'éligibilité. Pour utiliser le SAQ A, vous devez confirmer que votre page de paiement n'est pas vulnérable aux attaques par scripts pouvant affecter vos systèmes d'e-commerce, et que tous les éléments fournis au navigateur proviennent directement d'un processeur certifié PCI DSS (PCI Security Standards Council, 2025).

La plupart des boutiques Shopify ne peuvent pas faire cette confirmation proprement. Une boutique avec une application de fidélité, un widget de chat en direct, un outil d'avis ou même une seule balise analytique chargée sur la page de paiement a des scripts ne provenant pas de l'environnement certifié PCI de Shopify. Cela exclut la boutique de l'éligibilité propre au SAQ A. Confirmez votre version actuelle du SAQ A et ses critères d'éligibilité auprès de la Bibliothèque de documents du PCI SSC avant de supposer que vous êtes hors périmètre.

Risques spécifiques à Shopify sur la page de paiement

L'écosystème d'applications et les fonctionnalités d'extensibilité de Shopify ajoutent plusieurs sources de scripts que la plupart des commerçants ne tracent pas manuellement.

Shopify Pixels. L'API Pixel de Shopify permet aux outils d'analyse et de marketing tiers de s'exécuter sur le checkout. Les balises d'analyse, de publicité et d'attribution configurées via le sandbox Pixel de Shopify s'exécutent dans le navigateur du consommateur sur la page de paiement. Chacune entre dans le périmètre de l'exigence 6.4.3 et doit être inventoriée et justifiée.

Extensions d'interface de checkout. Les commerçants Shopify Plus peuvent utiliser Checkout Extensibility pour ajouter des fonctionnalités personnalisées au checkout via des extensions basées sur React. Ces extensions se chargent dans le navigateur du consommateur avec les champs de paiement. Tout script fourni via une extension est soumis aux mêmes exigences d'inventaire et d'intégrité.

Scripts d'applications Shopify. Les applications installées depuis la Shopify App Store peuvent injecter du JavaScript dans les thèmes et, dans certaines configurations, dans la page de paiement. Les widgets d'avis, les programmes de fidélité et les outils d'upsell en sont des exemples courants. Sans surveillance active, un script d'application compromis ou mis à jour peut modifier votre page de paiement sans que votre équipe ne le remarque.

JavaScript des thèmes. Les thèmes Shopify peuvent inclure du JavaScript qui se charge lors du flux de paiement. Si un fichier de thème est compromis ou qu'une mise à jour introduit de nouveaux appels tiers, l'exigence 11.6.1 requiert que vous détectiez et alertiez sur ce changement.

Pourquoi la page de paiement est votre surface d'attaque

Le checkout hébergé de Shopify protège la saisie des données de carte. Les attaques côté client ciblent rarement directement le champ de la carte. Elles ciblent la page qui l'entoure.

Un script compromis peut superposer un faux formulaire sur le checkout, rediriger un acheteur en cours de processus, ou lire le nom, l'e-mail, l'adresse et les données de commande dans le DOM avant que le paiement ne soit finalisé. Des en-têtes HTTP ayant un impact sur la sécurité modifiés peuvent rendre ces attaques possibles. Ces risques existent sur n'importe quelle page de paiement car ils s'exécutent dans le navigateur du client.

L'incident Polyfill[.]io de 2024 illustre l'exposition : un script tiers de confiance intégré sur plus de 490 000 sites a été compromis et a commencé à servir du code de skimming sur des pages de paiement du jour au lendemain (Sansec, 2024). Un commerçant Shopify avec ce script chargé sur sa page de paiement était exposé quelle que soit la certification PCI de Shopify, car l'attaque s'est exécutée dans le navigateur.

Comment satisfaire les exigences 6.4.3 et 11.6.1 pour votre boutique Shopify

La conformité manuelle est possible : constituez un inventaire des scripts de chaque script sur votre page de paiement, justifiez chacun, calculez leurs hachages et vérifiez hebdomadairement le checkout rendu pour détecter les changements. Pour une boutique avec quelques scripts stables, cela peut tenir. Pour une boutique Shopify où des applications mettent à jour des scripts selon leur propre cycle de publication et où les Pixels changent avec les campagnes marketing, l'approche manuelle échoue rapidement.

La réponse opérationnelle est une surveillance automatisée et continue des scripts conçue pour la page de paiement. cside PCI Shield est conçu pour satisfaire directement les deux exigences :

  • Inventaire et justification automatisés (6.4.3). cside découvre chaque script s'exécutant sur votre page de paiement Shopify, crée l'inventaire et vous permet d'enregistrer les autorisations et justifications en un seul endroit avec révision assistée par IA.
  • Détection des altérations en temps réel (11.6.1). cside surveille en continu les scripts et les en-têtes HTTP ayant un impact sur la sécurité et alerte sur tout changement non autorisé, plutôt que de faire des échantillonnages hebdomadaires.
  • Preuves prêtes pour l'audit. cside archive chaque version de script avec l'historique complet, afin que vous remettiez à un QSA des dossiers forensiques plutôt que des suppositions comportementales.

En résumé

Shopify est un prestataire de services PCI DSS de niveau 1, et c'est réellement précieux pour la réduction du périmètre. Cela ne vous rend pas entièrement conforme PCI, car les exigences 6.4.3 et 11.6.1 vous rendent responsable de chaque script et en-tête sur votre page de paiement, et Shopify ne gère pas cette surface.

La plupart des boutiques Shopify ont des scripts d'applications, des Pixels et des intégrations qui se chargent sur la page de paiement. Chacun est dans le périmètre. Inventoriez-les, autorisez chacun et déployez une détection des altérations en temps réel. Pour la partie opérationnelle, consultez cside PCI Shield et la sécurité côté client, ou réservez une démo pour examiner votre checkout Shopify.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Non. Shopify est un prestataire de services PCI DSS de niveau 1, ce qui certifie l'infrastructure propre de Shopify et le traitement des paiements. En tant que commerçant, la conformité PCI reste votre responsabilité. Les exigences 6.4.3 et 11.6.1 de PCI DSS 4.0.1 régissent chaque script chargé dans le navigateur du consommateur sur votre page de paiement, et Shopify n'assume pas la responsabilité de cette surface. Les scripts ajoutés par vos applications Shopify, les Shopify Pixels et toute intégration personnalisée sur la page de paiement restent de votre obligation.

L'exigence 6.4.3 stipule que vous devez gérer chaque script qui se charge et s'exécute dans le navigateur sur votre page de paiement. Pour chaque script, vous devez tenir un inventaire, une justification écrite de sa nécessité et une méthode pour confirmer son intégrité, c'est-à-dire qu'il n'a pas été modifié sans autorisation. L'objectif est d'empêcher les scripts non autorisés ou altérés de voler des données de paiement dans le navigateur du client.

L'exigence 11.6.1 stipule que vous devez déployer un mécanisme de détection des modifications et des altérations qui vous alerte lorsque les scripts de votre page de paiement, ou ses en-têtes HTTP ayant un impact sur la sécurité, sont modifiés. Le mécanisme doit évaluer la page de paiement telle que reçue par le navigateur du consommateur au moins tous les sept jours. Il existe pour détecter les attaques de type Magecart injectées dans le code côté client.

Indirectement, oui. La mise à jour de janvier 2025 du SAQ A a supprimé les exigences 6.4.3 et 11.6.1 du questionnaire, mais a ajouté un nouveau critère d'éligibilité : vous devez confirmer que votre page de paiement n'est pas vulnérable aux attaques par scripts, et que tous les éléments fournis au navigateur proviennent directement d'un processeur certifié PCI DSS. La plupart des boutiques Shopify avec des scripts d'applications, des Pixels, des balises analytiques ou des widgets de chat sur la page de paiement ne peuvent pas faire cette confirmation proprement. Les commerçants qui ne remplissent pas le critère d'éligibilité doivent satisfaire directement aux exigences 6.4.3 et 11.6.1.

Oui. Tout script qui se charge et s'exécute dans le navigateur du consommateur sur votre page de paiement entre dans le périmètre de l'exigence 6.4.3, qu'il provienne d'une application approuvée par Shopify, d'un Shopify Pixel ou d'une intégration personnalisée. Cela inclut les balises analytiques, les widgets d'avis, les applications de fidélité, les outils de chat en direct et les extensions d'interface de checkout ajoutées via l'API d'extensibilité de Shopify.

cside PCI Shield découvre et inventorie automatiquement chaque script s'exécutant sur votre page de paiement Shopify, enregistre les autorisations et justifications en un seul endroit, et surveille en temps réel les scripts et les en-têtes HTTP ayant un impact sur la sécurité pour détecter tout changement non autorisé. Il produit les preuves prêtes pour l'audit dont les QSA ont besoin pour les exigences 6.4.3 et 11.6.1, et il est validé par des QSA pour PCI DSS 4.0.1.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité
Related Articles
Réserver une démonstration