O uso do Shopify torna você compatível com PCI DSS?
Não. O Shopify é um provedor de serviços PCI DSS Nível 1, e essa certificação cobre a própria infraestrutura do Shopify, não a sua loja. Os requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1 regem os scripts em execução na sua página de pagamento no navegador do consumidor, e essa superfície continua sendo sua responsabilidade independentemente de qual plataforma de pagamento processa a transação.
Essa distinção importa especialmente para lojistas que assumem que a plataforma faz o trabalho de conformidade por eles. O Shopify lida com os dados de pagamento de forma segura. Ele não gerencia os scripts que seus apps, Pixels e integrações carregam ao lado deles.
O que o Shopify realmente cobre (e o que não cobre)
O Shopify é um provedor de serviços PCI DSS Nível 1 certificado. Quando um cliente finaliza uma compra pelo checkout hospedado do Shopify, os dados confidenciais do cartão são capturados, transmitidos e armazenados dentro do ambiente do Shopify. Essa é a redução de escopo que o Shopify oferece, e ela é real.
O que o Shopify não faz é assumir a responsabilidade por cada script em execução na página de pagamento. Sua loja carrega scripts de apps de terceiros, tags de análise, widgets de fidelidade, chat ao vivo e ferramentas de avaliações na mesma sessão de navegador que o fluxo de pagamento. O Shopify certifica seus próprios sistemas. Ele não certifica sua página de pagamento.
| Preocupação | Shopify cobre | Você ainda é responsável (6.4.3 / 11.6.1) |
|---|---|---|
| Captura e armazenamento do número do cartão | Sim, dentro do checkout hospedado do Shopify | Não |
| Atestado PCI DSS próprio do Shopify | Sim, como provedor Nível 1 | Não |
| Scripts adicionados pelos seus apps do Shopify | Não | Sim, inventariar e justificar cada um (6.4.3) |
| Shopify Pixels e tags de análise no checkout | Não | Sim, cada um está no escopo (6.4.3) |
| Integridade de scripts de apps e personalizados | Não | Sim, confirmar ausência de alteração não autorizada (6.4.3) |
| Detecção de adulterações e alertas | Não | Sim, implementar um mecanismo (11.6.1) |
| Cabeçalhos HTTP com impacto de segurança | Não | Sim, monitorar alterações não autorizadas (11.6.1) |
| Seu SAQ de lojista e AoC | Não | Sim, você se autoavalia e atesta |
A divisão é clara. O Shopify é proprietário dos dados de pagamento e de sua própria infraestrutura. Você é proprietário do ambiente do navegador na sua página de pagamento. O PCI DSS 4.0.1 tornou essa segunda coluna obrigatória.
O que os requisitos 6.4.3 e 11.6.1 realmente exigem?
Ambos os requisitos abordam ataques do lado do cliente, onde código malicioso é injetado em scripts que executam no navegador do cliente. Tornaram-se obrigatórios em 31 de março de 2025 (PCI Security Standards Council, PCI DSS v4.0.1).
Requisito 6.4.3: gerencie os scripts da sua página de pagamento. Para cada script carregado e executado na página de pagamento no navegador do consumidor, você deve:
- Manter um inventário de todos os scripts, com justificativa por escrito de por que cada um é necessário.
- Autorizar cada script antes de ser adicionado ou alterado.
- Confirmar a integridade de cada script verificando que não foi modificado sem autorização.
Requisito 11.6.1: detectar adulterações e alertar. Você deve implementar um mecanismo de detecção de alterações e adulterações que:
- Alerte o pessoal sobre modificações não autorizadas dos cabeçalhos HTTP e scripts da página de pagamento, conforme recebidos pelo navegador do consumidor.
- Avalie a página recebida pelo menos uma vez a cada sete dias, ou com a frequência definida pela sua análise de risco direcionada.
O requisito 6.4.3 diz para conhecer e autorizar seus scripts, e o 11.6.1 diz para monitorá-los e alertar quando mudarem. O Shopify não satisfaz nenhum dos dois, porque ambos dizem respeito ao que executa no navegador, e não a onde os dados do cartão vão.
Esses requisitos se aplicam a lojistas do Shopify no SAQ A?
O SAQ A é a autoavaliação mais curta, reservada para lojistas que terceirizam completamente o manuseio de dados de titulares de cartão. O checkout hospedado do Shopify pode torná-lo elegível ao SAQ A, mas apenas se a sua página de pagamento atender a uma condição.
O SAQ A de janeiro de 2025 removeu os requisitos 6.4.3 e 11.6.1 do próprio questionário e adicionou um novo critério de elegibilidade. Para usar o SAQ A, você deve confirmar que sua página de pagamento não é suscetível a ataques de scripts que possam afetar seus sistemas de e-commerce, e que todos os elementos entregues ao navegador vêm diretamente de um processador certificado PCI DSS (PCI Security Standards Council, 2025).
A maioria das lojas Shopify não consegue fazer essa confirmação de forma limpa. Uma loja com um app de fidelidade, um widget de chat ao vivo, uma ferramenta de avaliações ou mesmo uma única tag de análise sendo carregada na página de pagamento tem scripts com origem fora do ambiente PCI certificado do Shopify. Isso retira a loja da elegibilidade limpa ao SAQ A. Confirme sua versão atual do SAQ A e seus critérios de elegibilidade na Biblioteca de Documentos do PCI SSC antes de assumir que está fora do escopo.
Riscos específicos do Shopify na página de pagamento
O ecossistema de apps e as funcionalidades de extensibilidade do Shopify adicionam várias fontes de scripts que a maioria dos lojistas não rastreia manualmente.
Shopify Pixels. A API de Pixels do Shopify permite que ferramentas de análise e marketing de terceiros executem no checkout. Tags de análise, publicidade e atribuição configuradas pelo sandbox de Pixels do Shopify executam no navegador do consumidor na página de pagamento. Cada uma está no escopo do requisito 6.4.3 e deve ser inventariada e justificada.
Extensões de interface de checkout. Os lojistas do Shopify Plus podem usar o Checkout Extensibility para adicionar funcionalidades personalizadas ao checkout por meio de extensões baseadas em React. Essas extensões carregam no navegador do consumidor junto com os campos de pagamento. Qualquer script entregue por uma extensão está sujeito aos mesmos requisitos de inventário e integridade.
Scripts de apps do Shopify. Apps instalados da Shopify App Store podem injetar JavaScript em temas e, em algumas configurações, na página de pagamento. Widgets de avaliações, programas de fidelidade e ferramentas de upsell são exemplos comuns. Sem monitoramento ativo, um script de app comprometido ou atualizado pode alterar sua página de pagamento sem que sua equipe perceba.
JavaScript de temas. Os temas do Shopify podem incluir JavaScript que carrega junto ao fluxo de pagamento. Se um arquivo de tema for comprometido ou uma atualização introduzir novas chamadas de terceiros, o requisito 11.6.1 exige que você detecte e alerte sobre essa alteração.
Por que a página de pagamento é sua superfície de ataque
O checkout hospedado do Shopify protege a entrada de dados do cartão. Ataques do lado do cliente raramente têm como alvo direto o campo do cartão. Eles têm como alvo a página ao redor.
Um script comprometido pode sobrepor um formulário falso sobre o checkout, redirecionar um comprador no meio do processo ou ler nome, e-mail, endereço e dados do pedido do DOM antes que o pagamento seja concluído. Cabeçalhos HTTP com impacto de segurança modificados podem permitir esses ataques. Esses riscos existem em qualquer página de pagamento porque executam no navegador do cliente, não nos seus servidores.
O incidente do Polyfill[.]io de 2024 ilustra a exposição: um script de terceiro confiável incorporado em mais de 490.000 sites foi comprometido e começou a servir código de skimming para páginas de pagamento da noite para o dia (Sansec, 2024). Um lojista do Shopify com esse script carregando em sua página de pagamento estava exposto independentemente da certificação PCI do Shopify, porque o ataque executou no navegador.
Como satisfazer os requisitos 6.4.3 e 11.6.1 para sua loja Shopify
A conformidade manual é possível: crie um inventário de scripts de cada script na sua página de pagamento, justifique cada um, calcule hashes e verifique semanalmente o checkout renderizado para detectar alterações. Para uma loja com poucos scripts estáveis, isso pode funcionar. Para uma loja Shopify onde apps atualizam scripts em seu próprio ciclo de lançamento e Pixels mudam com as campanhas de marketing, a abordagem manual falha rapidamente.
A resposta operacional é o monitoramento automatizado e contínuo de scripts construído para a página de pagamento. O cside PCI Shield foi projetado para satisfazer ambos os requisitos diretamente:
- Inventário e justificativa automatizados (6.4.3). O cside descobre cada script em execução na sua página de pagamento do Shopify, constrói o inventário e permite que você registre autorização e justificativa em um só lugar com revisão assistida por IA.
- Detecção de adulterações em tempo real (11.6.1). O cside monitora continuamente scripts e cabeçalhos HTTP com impacto de segurança e alerta sobre alterações não autorizadas, em vez de fazer amostragens semanais.
- Evidências prontas para auditoria. O cside arquiva cada versão de script com histórico completo, para que você entregue ao QSA registros forenses em vez de suposições comportamentais.
O cside PCI Shield funciona junto com o Shopify Payments, Stripe ou qualquer gateway que sua loja usa. O Shopify cobre o lado dos dados de pagamento; o cside cobre os requisitos do lado do navegador que o Shopify deixa com você.
Conclusão
O Shopify é um provedor de serviços PCI DSS Nível 1, e isso é genuinamente valioso para redução de escopo. Ele não torna você totalmente compatível com PCI DSS, porque os requisitos 6.4.3 e 11.6.1 fazem de você o responsável por cada script e cabeçalho na sua página de pagamento, e o Shopify não gerencia essa superfície.
A maioria das lojas Shopify tem scripts de apps, Pixels e integrações que carregam na página de pagamento. Cada um está no escopo. Faça o inventário deles, autorize cada um e implante detecção de adulterações em tempo real. Para a parte operacional, consulte o cside PCI Shield e a segurança do lado do cliente, ou agende uma demo para analisar seu checkout do Shopify.








