Skip to main content
Blog
Blog

O Shopify torna você compatível com PCI DSS? O que os requisitos 6.4.3 e 11.6.1 ainda exigem

O Shopify é um provedor de serviços PCI DSS Nível 1, mas isso certifica os sistemas do Shopify, não a sua loja. Os requisitos 6.4.3 e 11.6.1 continuam sendo sua responsabilidade.

Jul 15, 2026 9 min read
O Shopify torna você compatível com PCI DSS? O que os requisitos 6.4.3 e 11.6.1 ainda exigem

O uso do Shopify torna você compatível com PCI DSS?

Não. O Shopify é um provedor de serviços PCI DSS Nível 1, e essa certificação cobre a própria infraestrutura do Shopify, não a sua loja. Os requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1 regem os scripts em execução na sua página de pagamento no navegador do consumidor, e essa superfície continua sendo sua responsabilidade independentemente de qual plataforma de pagamento processa a transação.

Essa distinção importa especialmente para lojistas que assumem que a plataforma faz o trabalho de conformidade por eles. O Shopify lida com os dados de pagamento de forma segura. Ele não gerencia os scripts que seus apps, Pixels e integrações carregam ao lado deles.

O que o Shopify realmente cobre (e o que não cobre)

O Shopify é um provedor de serviços PCI DSS Nível 1 certificado. Quando um cliente finaliza uma compra pelo checkout hospedado do Shopify, os dados confidenciais do cartão são capturados, transmitidos e armazenados dentro do ambiente do Shopify. Essa é a redução de escopo que o Shopify oferece, e ela é real.

O que o Shopify não faz é assumir a responsabilidade por cada script em execução na página de pagamento. Sua loja carrega scripts de apps de terceiros, tags de análise, widgets de fidelidade, chat ao vivo e ferramentas de avaliações na mesma sessão de navegador que o fluxo de pagamento. O Shopify certifica seus próprios sistemas. Ele não certifica sua página de pagamento.

PreocupaçãoShopify cobreVocê ainda é responsável (6.4.3 / 11.6.1)
Captura e armazenamento do número do cartãoSim, dentro do checkout hospedado do ShopifyNão
Atestado PCI DSS próprio do ShopifySim, como provedor Nível 1Não
Scripts adicionados pelos seus apps do ShopifyNãoSim, inventariar e justificar cada um (6.4.3)
Shopify Pixels e tags de análise no checkoutNãoSim, cada um está no escopo (6.4.3)
Integridade de scripts de apps e personalizadosNãoSim, confirmar ausência de alteração não autorizada (6.4.3)
Detecção de adulterações e alertasNãoSim, implementar um mecanismo (11.6.1)
Cabeçalhos HTTP com impacto de segurançaNãoSim, monitorar alterações não autorizadas (11.6.1)
Seu SAQ de lojista e AoCNãoSim, você se autoavalia e atesta

A divisão é clara. O Shopify é proprietário dos dados de pagamento e de sua própria infraestrutura. Você é proprietário do ambiente do navegador na sua página de pagamento. O PCI DSS 4.0.1 tornou essa segunda coluna obrigatória.

O que os requisitos 6.4.3 e 11.6.1 realmente exigem?

Ambos os requisitos abordam ataques do lado do cliente, onde código malicioso é injetado em scripts que executam no navegador do cliente. Tornaram-se obrigatórios em 31 de março de 2025 (PCI Security Standards Council, PCI DSS v4.0.1).

Requisito 6.4.3: gerencie os scripts da sua página de pagamento. Para cada script carregado e executado na página de pagamento no navegador do consumidor, você deve:

  • Manter um inventário de todos os scripts, com justificativa por escrito de por que cada um é necessário.
  • Autorizar cada script antes de ser adicionado ou alterado.
  • Confirmar a integridade de cada script verificando que não foi modificado sem autorização.

Requisito 11.6.1: detectar adulterações e alertar. Você deve implementar um mecanismo de detecção de alterações e adulterações que:

  • Alerte o pessoal sobre modificações não autorizadas dos cabeçalhos HTTP e scripts da página de pagamento, conforme recebidos pelo navegador do consumidor.
  • Avalie a página recebida pelo menos uma vez a cada sete dias, ou com a frequência definida pela sua análise de risco direcionada.

O requisito 6.4.3 diz para conhecer e autorizar seus scripts, e o 11.6.1 diz para monitorá-los e alertar quando mudarem. O Shopify não satisfaz nenhum dos dois, porque ambos dizem respeito ao que executa no navegador, e não a onde os dados do cartão vão.

Esses requisitos se aplicam a lojistas do Shopify no SAQ A?

O SAQ A é a autoavaliação mais curta, reservada para lojistas que terceirizam completamente o manuseio de dados de titulares de cartão. O checkout hospedado do Shopify pode torná-lo elegível ao SAQ A, mas apenas se a sua página de pagamento atender a uma condição.

O SAQ A de janeiro de 2025 removeu os requisitos 6.4.3 e 11.6.1 do próprio questionário e adicionou um novo critério de elegibilidade. Para usar o SAQ A, você deve confirmar que sua página de pagamento não é suscetível a ataques de scripts que possam afetar seus sistemas de e-commerce, e que todos os elementos entregues ao navegador vêm diretamente de um processador certificado PCI DSS (PCI Security Standards Council, 2025).

A maioria das lojas Shopify não consegue fazer essa confirmação de forma limpa. Uma loja com um app de fidelidade, um widget de chat ao vivo, uma ferramenta de avaliações ou mesmo uma única tag de análise sendo carregada na página de pagamento tem scripts com origem fora do ambiente PCI certificado do Shopify. Isso retira a loja da elegibilidade limpa ao SAQ A. Confirme sua versão atual do SAQ A e seus critérios de elegibilidade na Biblioteca de Documentos do PCI SSC antes de assumir que está fora do escopo.

Riscos específicos do Shopify na página de pagamento

O ecossistema de apps e as funcionalidades de extensibilidade do Shopify adicionam várias fontes de scripts que a maioria dos lojistas não rastreia manualmente.

Shopify Pixels. A API de Pixels do Shopify permite que ferramentas de análise e marketing de terceiros executem no checkout. Tags de análise, publicidade e atribuição configuradas pelo sandbox de Pixels do Shopify executam no navegador do consumidor na página de pagamento. Cada uma está no escopo do requisito 6.4.3 e deve ser inventariada e justificada.

Extensões de interface de checkout. Os lojistas do Shopify Plus podem usar o Checkout Extensibility para adicionar funcionalidades personalizadas ao checkout por meio de extensões baseadas em React. Essas extensões carregam no navegador do consumidor junto com os campos de pagamento. Qualquer script entregue por uma extensão está sujeito aos mesmos requisitos de inventário e integridade.

Scripts de apps do Shopify. Apps instalados da Shopify App Store podem injetar JavaScript em temas e, em algumas configurações, na página de pagamento. Widgets de avaliações, programas de fidelidade e ferramentas de upsell são exemplos comuns. Sem monitoramento ativo, um script de app comprometido ou atualizado pode alterar sua página de pagamento sem que sua equipe perceba.

JavaScript de temas. Os temas do Shopify podem incluir JavaScript que carrega junto ao fluxo de pagamento. Se um arquivo de tema for comprometido ou uma atualização introduzir novas chamadas de terceiros, o requisito 11.6.1 exige que você detecte e alerte sobre essa alteração.

Por que a página de pagamento é sua superfície de ataque

O checkout hospedado do Shopify protege a entrada de dados do cartão. Ataques do lado do cliente raramente têm como alvo direto o campo do cartão. Eles têm como alvo a página ao redor.

Um script comprometido pode sobrepor um formulário falso sobre o checkout, redirecionar um comprador no meio do processo ou ler nome, e-mail, endereço e dados do pedido do DOM antes que o pagamento seja concluído. Cabeçalhos HTTP com impacto de segurança modificados podem permitir esses ataques. Esses riscos existem em qualquer página de pagamento porque executam no navegador do cliente, não nos seus servidores.

O incidente do Polyfill[.]io de 2024 ilustra a exposição: um script de terceiro confiável incorporado em mais de 490.000 sites foi comprometido e começou a servir código de skimming para páginas de pagamento da noite para o dia (Sansec, 2024). Um lojista do Shopify com esse script carregando em sua página de pagamento estava exposto independentemente da certificação PCI do Shopify, porque o ataque executou no navegador.

Como satisfazer os requisitos 6.4.3 e 11.6.1 para sua loja Shopify

A conformidade manual é possível: crie um inventário de scripts de cada script na sua página de pagamento, justifique cada um, calcule hashes e verifique semanalmente o checkout renderizado para detectar alterações. Para uma loja com poucos scripts estáveis, isso pode funcionar. Para uma loja Shopify onde apps atualizam scripts em seu próprio ciclo de lançamento e Pixels mudam com as campanhas de marketing, a abordagem manual falha rapidamente.

A resposta operacional é o monitoramento automatizado e contínuo de scripts construído para a página de pagamento. O cside PCI Shield foi projetado para satisfazer ambos os requisitos diretamente:

  • Inventário e justificativa automatizados (6.4.3). O cside descobre cada script em execução na sua página de pagamento do Shopify, constrói o inventário e permite que você registre autorização e justificativa em um só lugar com revisão assistida por IA.
  • Detecção de adulterações em tempo real (11.6.1). O cside monitora continuamente scripts e cabeçalhos HTTP com impacto de segurança e alerta sobre alterações não autorizadas, em vez de fazer amostragens semanais.
  • Evidências prontas para auditoria. O cside arquiva cada versão de script com histórico completo, para que você entregue ao QSA registros forenses em vez de suposições comportamentais.

O cside PCI Shield funciona junto com o Shopify Payments, Stripe ou qualquer gateway que sua loja usa. O Shopify cobre o lado dos dados de pagamento; o cside cobre os requisitos do lado do navegador que o Shopify deixa com você.

Conclusão

O Shopify é um provedor de serviços PCI DSS Nível 1, e isso é genuinamente valioso para redução de escopo. Ele não torna você totalmente compatível com PCI DSS, porque os requisitos 6.4.3 e 11.6.1 fazem de você o responsável por cada script e cabeçalho na sua página de pagamento, e o Shopify não gerencia essa superfície.

A maioria das lojas Shopify tem scripts de apps, Pixels e integrações que carregam na página de pagamento. Cada um está no escopo. Faça o inventário deles, autorize cada um e implante detecção de adulterações em tempo real. Para a parte operacional, consulte o cside PCI Shield e a segurança do lado do cliente, ou agende uma demo para analisar seu checkout do Shopify.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Não. O Shopify é um provedor de serviços PCI DSS Nível 1, o que certifica a própria infraestrutura do Shopify e o processamento de pagamentos. Como lojista, a conformidade com PCI DSS ainda é sua responsabilidade. Os requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1 regem cada script carregado no navegador do consumidor na sua página de pagamento, e o Shopify não assume responsabilidade por essa superfície. Scripts adicionados pelos seus apps do Shopify, Shopify Pixels e quaisquer integrações personalizadas na página de pagamento continuam sendo sua obrigação.

O requisito 6.4.3 determina que você deve gerenciar cada script que carrega e executa no navegador na sua página de pagamento. Para cada script, você deve manter um inventário, uma justificativa por escrito de por que é necessário e um método para confirmar sua integridade, ou seja, que não foi alterado sem autorização. O objetivo é impedir que scripts não autorizados ou adulterados roubem dados de pagamento no navegador do cliente.

O requisito 11.6.1 determina que você deve implementar um mecanismo de detecção de alterações e adulterações que alerte quando os scripts da sua página de pagamento, ou seus cabeçalhos HTTP com impacto de segurança, forem modificados. O mecanismo deve avaliar a página de pagamento conforme recebida pelo navegador do consumidor pelo menos a cada sete dias. Ele existe para detectar ataques no estilo Magecart injetados em código do lado do cliente.

Indiretamente, sim. A atualização de janeiro de 2025 do SAQ A removeu os requisitos 6.4.3 e 11.6.1 do questionário, mas adicionou um novo critério de elegibilidade: você deve confirmar que sua página de pagamento não é suscetível a ataques de scripts, e que todos os elementos entregues ao navegador se originam diretamente de um processador certificado PCI DSS. A maioria das lojas Shopify com scripts de apps, Pixels, tags de análise ou widgets de chat na página de pagamento não consegue fazer essa confirmação de forma limpa. Lojistas que não atendem ao critério de elegibilidade devem satisfazer diretamente os requisitos 6.4.3 e 11.6.1.

Sim. Qualquer script que carrega e executa no navegador do consumidor na sua página de pagamento está no escopo do requisito 6.4.3, independentemente de ser proveniente de um app aprovado pelo Shopify, um Shopify Pixel ou uma integração personalizada. Isso inclui tags de análise, widgets de avaliações, apps de fidelidade, ferramentas de chat ao vivo e extensões de interface de checkout adicionadas pela API de extensibilidade do Shopify.

O cside PCI Shield descobre e inventaria automaticamente cada script em execução na sua página de pagamento do Shopify, registra autorização e justificativa em um só lugar e monitora em tempo real scripts e cabeçalhos HTTP com impacto de segurança para detectar alterações não autorizadas. Ele produz as evidências prontas para auditoria que os QSAs precisam para os requisitos 6.4.3 e 11.6.1, e é validado por QSA para o PCI DSS 4.0.1.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração