L'utilisation de Shopify vous rend-elle conforme PCI DSS ?
Non. Shopify est un prestataire de services PCI DSS de niveau 1, et cette certification couvre l'infrastructure propre de Shopify, pas votre boutique. Les exigences 6.4.3 et 11.6.1 de PCI DSS 4.0.1 régissent les scripts s'exécutant sur votre page de paiement dans le navigateur du consommateur, et cette surface reste votre responsabilité quelle que soit la plateforme de paiement qui traite la transaction.
Cette distinction est particulièrement importante pour les commerçants qui supposent que la plateforme fait le travail de conformité à leur place. Shopify gère les données de paiement en toute sécurité. Il ne gère pas les scripts que vos applications, Pixels et intégrations chargent à côté.
Ce que Shopify couvre réellement (et ce qu'il ne couvre pas)
Shopify est un prestataire de services PCI DSS de niveau 1 certifié. Lorsqu'un client finalise son achat via le checkout hébergé de Shopify, les données sensibles de la carte sont capturées, transmises et stockées dans l'environnement de Shopify. C'est la réduction de périmètre que Shopify apporte, et elle est réelle.
Ce que Shopify ne fait pas, c'est assumer la responsabilité de chaque script s'exécutant sur la page de paiement. Votre boutique charge des scripts d'applications tierces, des balises analytiques, des widgets de fidélité, du chat en direct et des outils d'avis dans la même session de navigateur que le flux de paiement. Shopify certifie ses propres systèmes. Il ne certifie pas votre page de paiement.
| Problématique | Shopify le couvre | Vous en êtes encore responsable (6.4.3 / 11.6.1) |
|---|---|---|
| Saisie et stockage du numéro de carte | Oui, dans le checkout hébergé de Shopify | Non |
| Attestation PCI DSS propre de Shopify | Oui, en tant que prestataire de niveau 1 | Non |
| Scripts ajoutés par vos applications Shopify | Non | Oui, inventorier et justifier chacun (6.4.3) |
| Shopify Pixels et balises analytiques sur le checkout | Non | Oui, chacun est dans le périmètre (6.4.3) |
| Intégrité des scripts d'applications et personnalisés | Non | Oui, confirmer l'absence de modification non autorisée (6.4.3) |
| Détection des altérations et alertes | Non | Oui, déployer un mécanisme (11.6.1) |
| En-têtes HTTP ayant un impact sur la sécurité | Non | Oui, surveiller les modifications non autorisées (11.6.1) |
| Votre SAQ marchand et AoC | Non | Oui, vous vous auto-évaluez et attestez |
La division est claire. Shopify est propriétaire des données de paiement et de son infrastructure. Vous êtes propriétaire de l'environnement navigateur de votre page de paiement. PCI DSS 4.0.1 a rendu cette deuxième colonne obligatoire.
Que requièrent concrètement les exigences 6.4.3 et 11.6.1 ?
Ces deux exigences traitent des attaques côté client, où du code malveillant est injecté dans des scripts s'exécutant dans le navigateur du client. Elles sont devenues obligatoires le 31 mars 2025 (PCI Security Standards Council, PCI DSS v4.0.1).
Exigence 6.4.3 : gérez les scripts de votre page de paiement. Pour chaque script chargé et exécuté sur la page de paiement dans le navigateur du consommateur, vous devez :
- Maintenir un inventaire de tous les scripts, avec une justification écrite de la nécessité de chacun.
- Autoriser chaque script avant son ajout ou sa modification.
- Confirmer l'intégrité de chaque script en vérifiant qu'il n'a pas été modifié sans autorisation.
Exigence 11.6.1 : détecter les altérations et alerter. Vous devez déployer un mécanisme de détection des modifications et des altérations qui :
- Alerte le personnel en cas de modification non autorisée des en-têtes HTTP et des scripts de la page de paiement, tels que reçus par le navigateur du consommateur.
- Évalue la page reçue au moins une fois tous les sept jours, ou à une fréquence définie par votre analyse de risque ciblée.
L'exigence 6.4.3 dit de connaître et d'autoriser vos scripts, et l'exigence 11.6.1 dit de les surveiller et d'alerter lorsqu'ils changent. Shopify ne satisfait ni l'une ni l'autre, car toutes deux portent sur ce qui s'exécute dans le navigateur plutôt que sur la destination des données de carte.
Ces exigences s'appliquent-elles aux commerçants Shopify sous SAQ A ?
Le SAQ A est l'auto-évaluation la plus courte, réservée aux commerçants qui externalisent entièrement la gestion des données des titulaires de carte. Le checkout hébergé de Shopify peut vous rendre éligible au SAQ A, mais uniquement si votre page de paiement remplit une condition.
La mise à jour de janvier 2025 du SAQ A a supprimé les exigences 6.4.3 et 11.6.1 du questionnaire lui-même, puis a ajouté un nouveau critère d'éligibilité. Pour utiliser le SAQ A, vous devez confirmer que votre page de paiement n'est pas vulnérable aux attaques par scripts pouvant affecter vos systèmes d'e-commerce, et que tous les éléments fournis au navigateur proviennent directement d'un processeur certifié PCI DSS (PCI Security Standards Council, 2025).
La plupart des boutiques Shopify ne peuvent pas faire cette confirmation proprement. Une boutique avec une application de fidélité, un widget de chat en direct, un outil d'avis ou même une seule balise analytique chargée sur la page de paiement a des scripts ne provenant pas de l'environnement certifié PCI de Shopify. Cela exclut la boutique de l'éligibilité propre au SAQ A. Confirmez votre version actuelle du SAQ A et ses critères d'éligibilité auprès de la Bibliothèque de documents du PCI SSC avant de supposer que vous êtes hors périmètre.
Risques spécifiques à Shopify sur la page de paiement
L'écosystème d'applications et les fonctionnalités d'extensibilité de Shopify ajoutent plusieurs sources de scripts que la plupart des commerçants ne tracent pas manuellement.
Shopify Pixels. L'API Pixel de Shopify permet aux outils d'analyse et de marketing tiers de s'exécuter sur le checkout. Les balises d'analyse, de publicité et d'attribution configurées via le sandbox Pixel de Shopify s'exécutent dans le navigateur du consommateur sur la page de paiement. Chacune entre dans le périmètre de l'exigence 6.4.3 et doit être inventoriée et justifiée.
Extensions d'interface de checkout. Les commerçants Shopify Plus peuvent utiliser Checkout Extensibility pour ajouter des fonctionnalités personnalisées au checkout via des extensions basées sur React. Ces extensions se chargent dans le navigateur du consommateur avec les champs de paiement. Tout script fourni via une extension est soumis aux mêmes exigences d'inventaire et d'intégrité.
Scripts d'applications Shopify. Les applications installées depuis la Shopify App Store peuvent injecter du JavaScript dans les thèmes et, dans certaines configurations, dans la page de paiement. Les widgets d'avis, les programmes de fidélité et les outils d'upsell en sont des exemples courants. Sans surveillance active, un script d'application compromis ou mis à jour peut modifier votre page de paiement sans que votre équipe ne le remarque.
JavaScript des thèmes. Les thèmes Shopify peuvent inclure du JavaScript qui se charge lors du flux de paiement. Si un fichier de thème est compromis ou qu'une mise à jour introduit de nouveaux appels tiers, l'exigence 11.6.1 requiert que vous détectiez et alertiez sur ce changement.
Pourquoi la page de paiement est votre surface d'attaque
Le checkout hébergé de Shopify protège la saisie des données de carte. Les attaques côté client ciblent rarement directement le champ de la carte. Elles ciblent la page qui l'entoure.
Un script compromis peut superposer un faux formulaire sur le checkout, rediriger un acheteur en cours de processus, ou lire le nom, l'e-mail, l'adresse et les données de commande dans le DOM avant que le paiement ne soit finalisé. Des en-têtes HTTP ayant un impact sur la sécurité modifiés peuvent rendre ces attaques possibles. Ces risques existent sur n'importe quelle page de paiement car ils s'exécutent dans le navigateur du client.
L'incident Polyfill[.]io de 2024 illustre l'exposition : un script tiers de confiance intégré sur plus de 490 000 sites a été compromis et a commencé à servir du code de skimming sur des pages de paiement du jour au lendemain (Sansec, 2024). Un commerçant Shopify avec ce script chargé sur sa page de paiement était exposé quelle que soit la certification PCI de Shopify, car l'attaque s'est exécutée dans le navigateur.
Comment satisfaire les exigences 6.4.3 et 11.6.1 pour votre boutique Shopify
La conformité manuelle est possible : constituez un inventaire des scripts de chaque script sur votre page de paiement, justifiez chacun, calculez leurs hachages et vérifiez hebdomadairement le checkout rendu pour détecter les changements. Pour une boutique avec quelques scripts stables, cela peut tenir. Pour une boutique Shopify où des applications mettent à jour des scripts selon leur propre cycle de publication et où les Pixels changent avec les campagnes marketing, l'approche manuelle échoue rapidement.
La réponse opérationnelle est une surveillance automatisée et continue des scripts conçue pour la page de paiement. cside PCI Shield est conçu pour satisfaire directement les deux exigences :
- Inventaire et justification automatisés (6.4.3). cside découvre chaque script s'exécutant sur votre page de paiement Shopify, crée l'inventaire et vous permet d'enregistrer les autorisations et justifications en un seul endroit avec révision assistée par IA.
- Détection des altérations en temps réel (11.6.1). cside surveille en continu les scripts et les en-têtes HTTP ayant un impact sur la sécurité et alerte sur tout changement non autorisé, plutôt que de faire des échantillonnages hebdomadaires.
- Preuves prêtes pour l'audit. cside archive chaque version de script avec l'historique complet, afin que vous remettiez à un QSA des dossiers forensiques plutôt que des suppositions comportementales.
En résumé
Shopify est un prestataire de services PCI DSS de niveau 1, et c'est réellement précieux pour la réduction du périmètre. Cela ne vous rend pas entièrement conforme PCI, car les exigences 6.4.3 et 11.6.1 vous rendent responsable de chaque script et en-tête sur votre page de paiement, et Shopify ne gère pas cette surface.
La plupart des boutiques Shopify ont des scripts d'applications, des Pixels et des intégrations qui se chargent sur la page de paiement. Chacun est dans le périmètre. Inventoriez-les, autorisez chacun et déployez une détection des altérations en temps réel. Pour la partie opérationnelle, consultez cside PCI Shield et la sécurité côté client, ou réservez une démo pour examiner votre checkout Shopify.








