Skip to main content
Blog
Blog

Adyen e PCI DSS: o que o processador cobre vs. o que você tem de fazer

Mapeie o limite de propriedade de scripts do PCI DSS 6.4.3 e 11.6.1 para cada integração da Adyen: Hosted Pages, Drop-in, Components e só API.

Jul 10, 2026 9 min read
Adyen e PCI DSS: o que o processador cobre vs. o que você tem de fazer

O que a Adyen cobre vs. o que continua a ser seu

A Adyen, como qualquer processador PCI DSS Nível 1, atesta o código que corre dentro do seu próprio iframe. Não atesta a página que o enquadra. Os requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1 regem os scripts da sua página de pagamento no navegador do consumidor, e a maioria desses scripts é sua. O limite de propriedade de scripts é o bordo da frame da Adyen, e desloca-se conforme a integração da Adyen que implementa.

"Usamos a Adyen" diz ao seu QSA onde os dados do cartão são processados. Não lhe diz o que o seu gestor de etiquetas, a sua analítica, a sua ferramenta de consentimento e o seu carregador do SDK estão a fazer no navegador enquanto um comprador digita um cartão. Este artigo mapeia esse limite para cada tipo de integração da Adyen para que saiba com precisão quais os scripts que a Adyen lhe tira do prato e quais os que tem de inventariar, autorizar e monitorizar.

O limite conforme o tipo de integração da Adyen

A Adyen oferece várias integrações de front-end, e cada uma desenha o limite do iframe num lugar diferente. Quanto mais dentro de uma frame servida pela Adyen estiverem os campos do cartão, menor é a parte do caminho dos dados de pagamento que é sua, mas os scripts da página envolvente são seus em todos os casos.

Integração da AdyenOnde os campos do cartão renderizamSAQ típicoA Adyen controla (o seu iframe)Você controla ao abrigo de 6.4.3 / 11.6.1
Hosted Payment Pages (redirecionamento)Domínio da Adyen, redirecionamento completoSAQ AEntrada do cartão e a página alojadaOs scripts da página a partir da qual redireciona
Drop-iniframe da Adyen, montado pelo SDK da AdyenSAQ AEntrada do cartão dentro da frame Drop-inO carregador do SDK + todos os outros scripts da página-mãe
Components (Custom Card)Um iframe da Adyen por campoSAQ ACada frame de campo de entrada alojadoO carregador do SDK, o JS de layout, todos os scripts envolventes
Só API (servidor para servidor)O seu próprio DOM, sem iframe da AdyenSAQ DNada do lado do clienteTodo o formulário e cada script que o consiga ler

O padrão é consistente. A responsabilidade da Adyen termina no bordo do iframe. O carregador que obtém e monta o SDK da Adyen é o seu script, servido a partir da sua origem, e está em âmbito. E também tudo o que o rodeia.

Hosted Payment Pages: o caso mais leve, mas não nulo

Um redirecionamento completo para uma página de pagamento alojada pela Adyen é o caso mais limpo para os dados do cartão. O PAN é introduzido no domínio da Adyen, por isso nunca toca o seu DOM. Este é o cenário clássico de SAQ A.

A armadilha está em assumir que "redirecionamento" significa "sem âmbito do lado do cliente". A página a partir da qual redireciona, a sua página de carrinho ou de início de checkout, continua a correr os seus scripts e continua a fazer parte da jornada de pagamento do cliente. Um script manipulado aí pode sobrepor um formulário de cartão falso antes do redirecionamento, ou reescrever o destino do redirecionamento para um processador falsificado. Desde a alteração do SAQ A de janeiro de 2025, a própria elegibilidade depende de confirmar que a sua página de pagamento não é suscetível a ataques baseados em scripts, por isso as páginas que controla ainda precisam de uma narrativa defensável sobre os seus scripts.

Drop-in e Components: a falha mais comum

Drop-in e Components são onde a maioria das equipas aterra, e onde o limite é mais mal interpretado. A Adyen serve os campos reais do cartão dentro de um iframe, o que mantém o PAN fora do seu DOM e suporta o SAQ A. Bom. Mas para renderizar essa frame, a sua página carrega o Adyen Web SDK e corre um script carregador que você escreveu e aloja. Esse carregador é um script de página de pagamento ao abrigo de 6.4.3, ponto final.

À sua volta está o resto do seu checkout: Google Tag Manager, analítica, repetição de sessões, chat, gestão de consentimento, SDKs de fraude e o que quer que o marketing publicou no último sprint. Nenhum desses é da Adyen. Todos executam no mesmo contexto de navegador que a frame da Adyen, na sua origem, e qualquer um deles pode ser comprometido através de um ataque à cadeia de fornecimento de scripts de terceiros.

O incidente da Polyfill[.]io de 2024 é a versão concreta deste risco: um único script de terceiros fidedigno incorporado em mais de 490 000 sites tornou-se malicioso de um dia para o outro e serviu código de redirecionamento e skimming a páginas de pagamento (Sansec, 2024). Um comerciante com Adyen Drop-in e campos de cartão perfeitamente isolados ficava igualmente exposto, porque o código malicioso entrou na própria página do comerciante, não no iframe da Adyen.

Só API: o limite desaparece

Uma integração só API, de servidor para servidor, remove o iframe da Adyen inteiramente. Você recolhe os dados do cartão no seu próprio formulário, no seu próprio DOM, e envia-os para a Adyen a partir do seu servidor. Não há isolamento do lado do cliente, pelo que este caminho normalmente o deixa no SAQ D com o conjunto de controlos mais pesado.

Para 6.4.3 e 11.6.1 este é o pior caso. Cada script da página está agora no caminho direto dos dados em bruto do cartão à medida que são digitados. O inventário, a justificação por escrito, a verificação de integridade e a deteção de manipulação que lhe cabem já não protegem a página à volta de um iframe seguro; protegem o próprio campo do cartão. Um único script injetado ou modificado pode ler o PAN da entrada a cada tecla e exfiltrá-lo. A maioria das equipas que escolhe só API fá-lo pelo controlo do checkout, e herda toda a carga de monitorização do lado do navegador como preço.

O que 6.4.3 e 11.6.1 exigem, independentemente da integração

O tipo de integração move o limite, mas os dois controlos nunca o abandonam. Tornaram-se obrigatórios em 31 de março de 2025 (PCI Security Standards Council, PCI DSS v4.0.1).

  1. Inventarie cada script da página de pagamento (6.4.3). Enumere cada script que carrega no navegador no seu fluxo de pagamento, incluindo o carregador do SDK da Adyen e cada etiqueta de terceiros, com uma razão escrita de lá estar.
  2. Autorize antes de publicar (6.4.3). Aprove cada script e cada alteração. Uma etiqueta não revista disparada por uma ferramenta de marketing falha isto por si só.
  3. Confirme a integridade (6.4.3). Verifique que cada script autorizado não foi alterado sem aprovação.
  4. Detete manipulação e alerte (11.6.1). Execute um mecanismo de deteção de alterações que alerte sobre modificação não autorizada de scripts da página de pagamento e de cabeçalhos HTTP com impacto na segurança, avaliados tal como recebidos pelo navegador do consumidor pelo menos a cada sete dias ou conforme a sua análise de risco direcionada.
  5. Mantenha evidência que sobreviva a uma auditoria (6.4.3 / 11.6.1). Conserve versões dos scripts, aprovações e histórico de alterações para que um QSA veja registos, não afirmações.

Nenhum destes é satisfeito pela Adyen, porque nenhum deles é sobre onde os dados do cartão são processados. São sobre o que corre no navegador, e o navegador é a metade que a Adyen lhe devolve.

Como a cside cobre a metade que a Adyen lhe deixa

A versão manual, uma folha de cálculo de scripts mais um diff de capturas de ecrã semanal, parte no momento em que um gestor de etiquetas injeta scripts dinamicamente, que é a norma num checkout real da Adyen. Também produz o tipo de evidência de que os auditores desconfiam.

A cside PCI Shield é construída para a fatia exata que a Adyen não cobre:

  • Inventário e justificação automatizados (6.4.3). A cside descobre cada script na página de pagamento, incluindo o carregador do SDK da Adyen e todas as etiquetas de terceiros, constrói o inventário e regista a autorização e a justificação num só lugar.
  • Integridade e deteção de manipulação em tempo real (11.6.1). A cside monitoriza scripts e cabeçalhos HTTP com impacto na segurança de forma contínua e alerta sobre alterações não autorizadas, em vez de amostrar num cron semanal e esperar que nada tenha escapado.
  • Evidência pronta para auditoria. A cside arquiva cada versão de cada script com histórico completo, para que entregue a um QSA registos forenses que mapeiam de forma limpa o lado do comerciante na repartição de responsabilidades.

A cside não substitui a Adyen. A Adyen retira os dados do cartão de âmbito dentro do seu iframe; a cside cobre os scripts da página-mãe que 6.4.3 e 11.6.1 lhe deixam, seja qual for a integração que executar.

Mais leituras sobre a cside

A partir de 2026-06-18, trate isto como orientação operacional, não como aconselhamento jurídico. Confirme o texto exato dos controlos e a sua elegibilidade para o SAQ com o seu QSA, o seu conselheiro jurídico ou o responsável de risco.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

O limite é o bordo do iframe da Adyen. A Adyen é dona e atesta o código que corre dentro do seu campo alojado, Drop-in ou Component, porque essa frame é servida a partir do domínio da Adyen. Tudo o que está na página-mãe que a enquadra, incluindo o seu gestor de etiquetas, a sua analítica, o seu banner de consentimento, a sua ferramenta de testes A/B e o script carregador que monta o SDK da Adyen, é servido a partir da sua origem e mantém-se como sua responsabilidade ao abrigo de 6.4.3 e 11.6.1. A entrada dos dados do titular do cartão pode estar totalmente isolada e a sua página pode, ainda assim, transportar um skimmer.

Amplia-as. Com um fluxo só API de servidor para servidor, você constrói o formulário do cartão, por isso os campos de entrada vivem diretamente no seu DOM sem qualquer iframe da Adyen que os isole. Isso empurra-o para o SAQ D e significa que cada script da página pode ler o PAN à medida que é digitado. Os controlos de inventário, justificação, integridade e deteção de manipulação passam agora a cobrir scripts que estão no caminho direto dos dados em bruto do cartão, o que eleva tanto o nível da auditoria como o raio de impacto de uma violação.

Não inteiramente. Um redirecionamento completo para uma página de pagamento alojada pela Adyen retira a entrada do cartão do seu domínio, que é o caso mais leve. Mas a página a partir da qual redireciona, a sua página de carrinho e de início de checkout, continua a correr os seus scripts e pode ser manipulada para sobrepor um formulário falso ou redirecionar o comprador antes de a Adyen sequer carregar. A elegibilidade para o SAQ A exige agora confirmar que a sua página de pagamento não é suscetível a ataques baseados em scripts, por isso ainda precisa de uma resposta defensável sobre os scripts das páginas que controla.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração