Skip to main content
Blog
Blog

Maakt Shopify je PCI DSS-compliant? Wat vereisten 6.4.3 en 11.6.1 nog steeds eisen

Shopify is een PCI DSS Level 1-dienstverlener, maar dat certificeert Shopify's eigen systemen, niet jouw webshop. Vereisten 6.4.3 en 11.6.1 blijven jouw verantwoordelijkheid.

Jul 15, 2026 7 min read
Maakt Shopify je PCI DSS-compliant? Wat vereisten 6.4.3 en 11.6.1 nog steeds eisen

Maakt het gebruik van Shopify je PCI DSS-compliant?

Nee. Shopify is een PCI DSS Level 1-dienstverlener, en die certificering dekt de eigen infrastructuur van Shopify, niet jouw webshop. PCI DSS 4.0.1-vereisten 6.4.3 en 11.6.1 regelen de scripts die draaien op jouw betaalpagina in de browser van de consument, en die verantwoordelijkheid blijft bij jou ongeacht welk betaalplatform de transactie verwerkt.

Dit onderscheid is het belangrijkst voor merchants die ervan uitgaan dat het platform het compliance-werk voor hen doet. Shopify verwerkt betaalgegevens veilig. Het beheert de scripts niet die jouw apps, Pixels en integraties ernaast laden.

Wat Shopify werkelijk dekt (en wat niet)

Shopify is een gecertificeerde PCI DSS Level 1-dienstverlener. Wanneer een klant afrekent via Shopify's gehoste checkout, worden gevoelige kaartgegevens vastgelegd, verzonden en opgeslagen binnen Shopify's omgeving. Dat is de scope-reductie die Shopify biedt, en die is reëel.

Wat Shopify niet doet, is eigenaarschap nemen over elk script dat draait op de betaalpagina. Jouw winkel laadt scripts van derde-partij apps, analyticstags, loyaliteitswidgets, livechat en reviewtools in dezelfde browsersessie als de betaalstroom. Shopify certificeert zijn eigen systemen. Het certificeert jouw betaalpagina niet.

AandachtspuntShopify dekt hetJij blijft verantwoordelijk (6.4.3 / 11.6.1)
Invoer en opslag van kaartnummerJa, binnen Shopify's gehoste checkoutNee
Eigen PCI DSS-attest van ShopifyJa, als Level 1-dienstverlenerNee
Scripts toegevoegd door jouw Shopify-appsNeeJa, elke inventariseren en rechtvaardigen (6.4.3)
Shopify Pixels en analyticstags op checkoutNeeJa, elke valt in scope (6.4.3)
Integriteit van app- en aangepaste scriptsNeeJa, bevestigen dat er geen ongeautoriseerde wijziging is (6.4.3)
Manipulatiedetectie en waarschuwingenNeeJa, een mechanisme inzetten (11.6.1)
Beveiligingsrelevante HTTP-headersNeeJa, ongeautoriseerde wijzigingen bewaken (11.6.1)
Jouw merchant SAQ en AoCNeeJa, je beoordeelt en attesteert zelf

De verdeling is helder. Shopify is eigenaar van de betaalgegevens en zijn eigen infrastructuur. Jij bent eigenaar van de browseromgeving op jouw betaalpagina. PCI DSS 4.0.1 heeft die tweede kolom verplicht gemaakt.

Wat vereisten 6.4.3 en 11.6.1 werkelijk eisen

Beide vereisten richten zich op client-side aanvallen, waarbij kwaadaardige code wordt geïnjecteerd in scripts die draaien in de browser van de klant. Ze werden verplicht op 31 maart 2025 (PCI Security Standards Council, PCI DSS v4.0.1).

Vereiste 6.4.3: beheer de scripts van jouw betaalpagina. Voor elk script dat laadt en uitvoert op de betaalpagina in de browser van de consument moet je:

  • Een inventaris bijhouden van alle scripts, met schriftelijke rechtvaardiging waarom elk noodzakelijk is.
  • Elk script autoriseren voordat het wordt toegevoegd of gewijzigd.
  • De integriteit van elk script bevestigen door te verifiëren dat het niet is gewijzigd zonder autorisatie.

Vereiste 11.6.1: manipulatie detecteren en waarschuwen. Je moet een wijzigingsdetectie- en manipulatiedetectiemechanisme inzetten dat:

  • Personeel waarschuwt bij ongeautoriseerde wijziging van de HTTP-headers en scripts van de betaalpagina, zoals ontvangen door de browser van de consument.
  • De ontvangen pagina ten minste eenmaal per zeven dagen evalueert, of met een frequentie gedefinieerd door jouw doelgerichte risicoanalyse.

Vereiste 6.4.3 zegt dat je jouw scripts moet kennen en autoriseren, en vereiste 11.6.1 zegt dat je ze moet bewaken en waarschuwen wanneer ze wijzigen. Shopify dekt geen van beide, omdat beide gaan over wat er in de browser draait in plaats van waar kaartgegevens naartoe gaan.

Gelden deze vereisten voor Shopify-merchants op SAQ A?

SAQ A is de kortste zelfbeoordeling, gereserveerd voor merchants die de verwerking van kaarthoudergegevens volledig uitbesteden. Shopify's gehoste checkout kan je SAQ A-geschikt maken, maar alleen als jouw betaalpagina aan één voorwaarde voldoet.

De update van januari 2025 voor SAQ A verwijderde vereisten 6.4.3 en 11.6.1 uit de vragenlijst zelf, en voegde vervolgens een nieuw geschiktheidscriterium toe. Om SAQ A te gebruiken moet je bevestigen dat jouw betaalpagina niet kwetsbaar is voor aanvallen via scripts die jouw e-commercesystemen kunnen beïnvloeden, en dat elk element dat aan de browser wordt geleverd rechtstreeks afkomstig is van een PCI DSS-gecertificeerde verwerker (PCI Security Standards Council, 2025).

De meeste Shopify-winkels kunnen die bevestiging niet probleemloos geven. Een winkel met een loyaliteitsapp, een livechat-widget, een reviewtool of zelfs één enkele analyticstag die laadt op de betaalpagina heeft scripts die niet afkomstig zijn uit Shopify's PCI-gecertificeerde omgeving. Dat haalt de winkel uit de zuivere SAQ A-geschiktheid. Bevestig jouw huidige SAQ A-versie en de geschiktheidscriteria via de PCI SSC Documentenbibliotheek voordat je ervan uitgaat dat je buiten scope bent.

Shopify-specifieke scriptrisico's op de betaalpagina

Shopify's app-ecosysteem en extensibiliteitsfuncties voegen meerdere scriptbronnen toe die de meeste merchants niet handmatig bijhouden.

Shopify Pixels. De Shopify Pixel API laat derde-partij analyse- en marketingtools draaien op de checkout. Tags voor analytics, adverteren en attributie geconfigureerd via Shopify's pixel-sandbox draaien in de browser van de consument op de betaalpagina. Elke tag valt in scope voor vereiste 6.4.3 en moet worden geïnventariseerd en gerechtvaardigd.

Checkout UI-extensies. Shopify Plus-merchants kunnen Checkout Extensibility gebruiken om aangepaste functionaliteit toe te voegen aan de checkout via React-gebaseerde extensies. Deze extensies laden in de browser van de consument naast de betalingsvelden. Elk script geleverd via een extensie is onderworpen aan dezelfde inventaris- en integriteitsvereisten.

Shopify app-scripts. Apps geïnstalleerd vanuit de Shopify App Store kunnen JavaScript injecteren in thema's en, in sommige configuraties, in de betaalpagina. Reviewwidgets, loyaliteitsprogramma's en upsell-tools zijn veelvoorkomende voorbeelden. Zonder actieve bewaking kan een gecompromitteerd of bijgewerkt app-script jouw betaalpagina wijzigen zonder dat jouw team het merkt.

Thema-JavaScript. Shopify-thema's kunnen JavaScript bevatten dat laadt bij de betaalstroom. Als een themabestand wordt gecompromitteerd of een update nieuwe externe aanroepen introduceert, vereist vereiste 11.6.1 dat je die wijziging detecteert en er melding van maakt.

Waarom de betaalpagina jouw aanvalsoppervlak is

Shopify's gehoste checkout beschermt de invoer van kaartgegevens. Client-side aanvallen richten zich zelden rechtstreeks op het kaartveld. Ze richten zich op de pagina eromheen.

Een gecompromitteerd script kan een nep-formulier over de checkout leggen, een koper middenin het proces omleiden, of naam, e-mail, adres en bestelgegevens uit de DOM lezen voordat de betaling is voltooid. Gewijzigde beveiligingsrelevante HTTP-headers kunnen die aanvallen mogelijk maken. Die risico's bestaan op elke betaalpagina omdat ze draaien in de browser van de klant, niet op jouw servers.

Het Polyfill[.]io-incident van 2024 illustreert de blootstelling: een vertrouwd derde-partij script dat was ingebed op meer dan 490.000 websites werd gecompromitteerd en begon 's nachts skimming-code te leveren aan betaalpagina's (Sansec, 2024). Een Shopify-merchant met dat script op zijn betaalpagina was blootgesteld ongeacht Shopify's PCI-certificering, omdat de aanval plaatsvond in de browser.

Hoe vereisten 6.4.3 en 11.6.1 na te leven voor jouw Shopify-winkel

Handmatige naleving is mogelijk: bouw een scriptinventaris van elk script op jouw betaalpagina, rechtvaardig elk script, bereken hashes en controleer wekelijks de gerenderde checkout op wijzigingen. Voor een winkel met een handvol stabiele scripts kan dat werken. Voor een Shopify-winkel waar apps scripts bijwerken op hun eigen releasecyclus en Pixels veranderen met marketingcampagnes, faalt de handmatige aanpak snel.

Het operationele antwoord is continue, geautomatiseerde scriptbewaking gebouwd voor de betaalpagina. cside PCI Shield is ontworpen om beide vereisten direct af te dekken:

  • Geautomatiseerde inventarisatie en rechtvaardiging (6.4.3). cside ontdekt elk script op jouw Shopify-betaalpagina, bouwt de inventaris op en laat je autorisatie en rechtvaardiging op één plek vastleggen met AI-ondersteunde beoordeling.
  • Realtime manipulatiedetectie (11.6.1). cside bewaakt scripts en beveiligingsrelevante HTTP-headers continu en waarschuwt bij ongeautoriseerde wijzigingen, in plaats van wekelijks te samplen.
  • Auditklare bewijzen. cside archiveert elke scriptversie met volledige geschiedenis, zodat je een QSA forensische dossiers overhandigt in plaats van gedragsschattingen.

cside PCI Shield werkt samen met Shopify Payments, Stripe of welke gateway jouw winkel ook gebruikt. Shopify dekt de betaalgegevenszijde; cside dekt de browser-side vereisten die Shopify bij jou laat.

De conclusie

Shopify is een PCI DSS Level 1-dienstverlener, en dat is genuïen waardevol voor scope-reductie. Het maakt je niet volledig PCI DSS-compliant, omdat vereisten 6.4.3 en 11.6.1 jou verantwoordelijk stellen voor elk script en elke header op jouw betaalpagina, en Shopify dat oppervlak niet beheert.

De meeste Shopify-winkels hebben app-scripts, Pixels en integraties die laden op de betaalpagina. Elk valt in scope. Inventariseer ze, autoriseer elk script en zet realtime manipulatiedetectie in. Zie voor de operationele kant cside PCI Shield en client-side beveiliging, of plan een demo om jouw Shopify-checkout door te nemen.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Nee. Shopify is een PCI DSS Level 1-dienstverlener, wat de eigen infrastructuur van Shopify en de betalingsverwerking certificeert. Als merchant blijft PCI DSS-naleving jouw verantwoordelijkheid. PCI DSS 4.0.1-vereisten 6.4.3 en 11.6.1 regelen elk script dat laadt in de browser van de consument op jouw betaalpagina, en Shopify neemt geen eigenaarschap over dat oppervlak. Scripts toegevoegd door jouw Shopify-apps, Shopify Pixels en aangepaste integraties op de betaalpagina blijven jouw verplichting.

Vereiste 6.4.3 stelt dat je elk script dat laadt en uitvoert in de browser op jouw betaalpagina moet beheren. Voor elk script moet je een inventaris bijhouden, een schriftelijke rechtvaardiging waarom het noodzakelijk is, en een methode om de integriteit te bevestigen, wat inhoudt dat het niet is gewijzigd zonder autorisatie. Het doel is om te voorkomen dat ongeautoriseerde of gemanipuleerde scripts betaalgegevens stelen in de browser van de klant.

Vereiste 11.6.1 stelt dat je een wijzigingsdetectie- en manipulatiedetectiemechanisme moet inzetten dat je waarschuwt wanneer de scripts op jouw betaalpagina, of de beveiligingsrelevante HTTP-headers, worden gewijzigd. Het mechanisme moet de betaalpagina zoals ontvangen door de browser van de consument ten minste elke zeven dagen evalueren. Het bestaat om Magecart-achtige aanvallen te detecteren die worden geïnjecteerd in client-side code.

Indirect wel. De update van januari 2025 voor SAQ A verwijderde vereisten 6.4.3 en 11.6.1 uit de vragenlijst, maar voegde een nieuw geschiktheidscriterium toe: je moet bevestigen dat jouw betaalpagina niet kwetsbaar is voor aanvallen via scripts, en dat alle elementen die aan de browser worden geleverd rechtstreeks afkomstig zijn van een PCI DSS-gecertificeerde verwerker. De meeste Shopify-winkels met app-scripts, Pixels, analyticstags of chatwidgets op de betaalpagina kunnen die bevestiging niet probleemloos geven. Merchants die niet aan het geschiktheidscriterium voldoen, moeten vereisten 6.4.3 en 11.6.1 rechtstreeks naleven.

Ja. Elk script dat laadt en uitvoert in de browser van de consument op jouw betaalpagina valt onder vereiste 6.4.3, ongeacht of het afkomstig is van een door Shopify goedgekeurde app, een Shopify Pixel of een aangepaste integratie. Dit omvat analyticstags, reviewwidgets, loyaliteitsapps, livechat-tools en checkout UI-extensies toegevoegd via Shopify's extensibility API.

cside PCI Shield ontdekt en inventariseert automatisch elk script op jouw Shopify-betaalpagina, legt autorisatie en rechtvaardiging op één plek vast, en bewaakt scripts en beveiligingsrelevante HTTP-headers in real time op ongeautoriseerde wijzigingen. Het produceert de auditklare bewijzen die QSA's nodig hebben voor vereisten 6.4.3 en 11.6.1, en is QSA-gevalideerd voor PCI DSS 4.0.1.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics
Related Articles
Boek een demo