Blog

3 Dicas - O caminho mais rápido para cumprir os requisitos 6.4.3 e 11.6.1 do PCI DSS

A maioria das equipes complica demais os requisitos 6.4.3 e 11.6.1 do PCI DSS. Veja os caminhos mais rápidos para a conformidade e por que os QSAs recomendam ferramentas em vez de soluções caseiras.

Jan 26, 2026 • 7 min read

Juan Combariza Growth Marketer

Imagem de capa do blog: O caminho mais rápido para cumprir os requisitos 6.4.3 e 11.6.1 do PCI DSS

TL;DR - 3 Dicas

Usar uma solução de fornecedor é mais rápido e mais seguro do que construir controles internamente. Os QSAs consideram ferramentas estabelecidas mais fáceis de avaliar do que mecanismos DIY personalizados.
Scanners remotos podem ser implantados em menos de um dia, mas podem ser rejeitados como controle válido. A segurança em múltiplas camadas leva dias a semanas, mas oferece proteção real e sem risco de reprovação na auditoria.
Ferramentas como o cside oferecem uma opção de autoimplantação para pequenas empresas entrarem em operação o mais rápido possível, além de uma opção de implementação acelerada para empresas com prazo de auditoria apertado.

Por Que os QSAs Recomendam Ferramentas de Fornecedores para os Requisitos 6.4.3 e 11.6.1 do PCI DSS

Durante nosso webinar com a BARR Advisory, Kyle Kofsky observou que a recomendação padrão dos QSAs é usar uma ferramenta de fornecedor para os requisitos 6.4.3 e 11.6.1. Tentar lidar com esses requisitos com ferramentas desenvolvidas internamente gera uma sobrecarga enorme e se torna um projeto sem fim devido à manutenção contínua.

Notas de um especialista – Kyle Kofsky – Lead QSA, BARR Advisory

"Com CSP e SRI, mesmo que você entenda todos esses conceitos, sua organização tem os recursos necessários para implementar esses métodos? Os inventários podem ser mantidos? Os métodos de segurança conseguem acompanhar a evolução dos ataques? Esta é uma avaliação contínua, ano após ano, e você precisa estar em conformidade o tempo todo. Para muitas organizações, isso é um fardo grande demais. É por isso que ferramentas de terceiros estão se tornando muito populares para gerenciar esses scripts e a segurança das páginas de pagamento."

Extraído do webinar How to Pass PCI DSS 4.0.1 (Requirements 6.4.3 & 11.6.1)

Isso não implica que Kyle Kofsky ou a BARR Advisory recomendaram o cside individualmente.

Já vimos repetidamente equipes gastarem meses construindo controles internos, apenas para travar em algum requisito técnico e optar por uma ferramenta de fornecedor depois de desperdiçar recursos no projeto DIY. Este artigo aborda como cumprir os requisitos 6.4.3 e 11.6.1 do PCI DSS caso você decida construir internamente.

É muito mais rápido (e mais seguro) usar um fornecedor como o cside, que pode entrar em operação em dias e já vem com dashboards e relatórios prontos para revisão pelo QSA. Para equipes que valorizam o controle, o cside pode ser integrado a SIEMs e outros elementos da sua stack de defesa.

Quanto Tempo Leva para Implementar uma Ferramenta de Fornecedor para os Requisitos 6.4.3 e 11.6.1 do PCI DSS?

Scanners remotos (1 dia, segurança limitada):

Também chamados de "crawlers" ou "scanners sem agente", essas soluções podem ser implementadas em 1 dia. Elas monitoram seu site externamente, ou seja, não é necessário nenhum código ou instalação. A simplicidade técnica dessa abordagem é também sua maior desvantagem. Embora seja a forma mais rápida de obter monitoramento básico de scripts de terceiros, as capacidades de segurança são extremamente limitadas.

Isso traz o risco de reprovar nos requisitos client-side do PCI DSS durante a auditoria. O objetivo dos requisitos 6.4.3 e 11.6.1 é proteger os titulares de cartão reduzindo a possibilidade de web skimming nas suas páginas de pagamento. Scanners remotos não conseguem bloquear ataques. Eles verificam ameaças potenciais, mas podem ser facilmente contornados por código condicional. Um hacker pode simplesmente detectar os crawlers e servir código limpo para eles enquanto serve código malicioso para os usuários.

Perguntamos a um QSA (que preferiu permanecer anônimo) se um scanner passaria na auditoria:

Se você perguntar para 5 QSAs, vai receber 6 opiniões diferentes. O PCI Council deixou a linguagem vaga sobre os controles específicos aprovados para os requisitos 6.4.3 e 11.6.1. Essa parte fica a cargo dos comerciantes resolverem. Já ouvimos falar de alguns auditores que aceitam scanners como controles válidos, enquanto outros os rejeitam por não conseguirem bloquear scripts.

Nossos próprios engenheiros de segurança recomendam fortemente uma solução com capacidades de proteção mais robustas. Dito isso, o cside oferece uma solução apenas de scanner remoto para empresas que priorizam a velocidade de implementação em detrimento da segurança. Você pode fazer upgrade para uma proteção mais forte a qualquer momento.

Segurança em múltiplas camadas (dias a semanas, proteção máxima):

Soluções como o cside combinam monitoramento client-side, scanners remotos e análise personalizada de scripts com IA para proteger suas páginas. Essas soluções podem ser implementadas em dias a semanas, dependendo do escopo da sua implantação.

Já vimos pequenas empresas gerando relatórios em tempo real em menos de uma semana. Empresas maiores podem levar mais tempo devido a processos jurídicos, PoCs formais e testes em pré-produção. Vários dos nossos clientes enterprise alcançaram a implantação completa em menos de um mês.

Embora essa abordagem adicione algumas semanas ao seu cronograma de implementação, ela elimina o risco de reprovar na auditoria por controles inadequados. O cside foi avaliado e validado pela VikingCloud como capaz de atender aos requisitos:

O cside demonstrou capacidade de atender aos requisitos 6.4.3 e 11.6.1 do PCI DSS. A avaliação técnica e os testes sustentaram a conclusão de que a solução atende aos requisitos acima quando implantada corretamente.

VikingCloud, Veja o relatório detalhado da VikingCloud aqui.

Autoimplantação para Ferramentas dos Requisitos 6.4.3 e 11.6.1 do PCI DSS

Uma forma de acelerar a conformidade com os requisitos 6.4.3 e 11.6.1 do PCI DSS é usar uma ferramenta com opção de autoimplantação, como o cside. Fornecedores similares como Feroot e Jscrambler exigem uma chamada de demonstração antes de você ter acesso à plataforma. Depois vem o processo formal de vendas antes que qualquer implementação possa começar.

Com o modelo de autoimplantação do cside, você pode imediatamente criar uma conta gratuita, configurar proteção básica nas suas páginas e depois fazer upgrade para cobertura completa de conformidade — tudo sem precisar falar com um vendedor.

Isso é especialmente útil para:

Pequenas empresas (menos de 500 mil pageviews mensais) que querem fazer a autoimplantação completa usando a documentação para desenvolvedores e recursos guiados, sem precisar de uma equipe de suporte.
Desenvolvedores/líderes de conformidade de empresas maiores que querem acesso prático para avaliar a plataforma antes de recomendar um fornecedor ao comitê de compras.

Qual É a Dificuldade de Instalar uma Ferramenta de Fornecedor para os Requisitos 6.4.3 e 11.6.1 do PCI DSS

Scanners remotos:

Dificuldade: Fácil, sem código
Etapas de instalação: Informe uma lista de domínios ou URLs para monitorar. O fornecedor executa as varreduras automaticamente e envia relatórios ou um dashboard com insights.

Segurança em múltiplas camadas (dias a semanas, proteção máxima):

Dificuldade: Fácil, requer edições no código
Etapas de instalação: Informe seu domínio. Adicione uma linha de código ao seu site. Atualize as regras de CSP, se necessário, para permitir o script do fornecedor.

O cside oferece múltiplos métodos de implementação, incluindo opções amigáveis para desenvolvedores como configuração via CLI ou um pacote para Next.js.

Posso Estar em Conformidade com os Requisitos 6.4.3 e 11.6.1 do PCI DSS em 30 Dias?

Sim, mas os prazos dependem do tamanho da sua implantação. Já vimos clientes implementar o cside em questão de dias e preparar evidências de auditoria logo depois, com o processo concluído em menos de um mês. Empresas maiores precisam levar em conta processos jurídicos, demonstrações de PoC e configuração técnica avançada.

Se você está se preparando para uma auditoria próxima, o cside pode ajudar a acelerar seu processo:

Para pequenas empresas (menos de 500 mil pageviews mensais): Crie uma conta e faça a autoimplantação do cside como seu mecanismo de proteção client-side. Isso pode ser feito em dias por meio de recursos guiados, documentação e acesso a suporte técnico conforme necessário.
Para empresas maiores: Entre em contato com nossa equipe, podemos acelerar o cronograma de implementação e ajudá-lo a construir uma estratégia para alcançar a conformidade mais rapidamente.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O caminho mais rápido é adotar uma solução de fornecedor em vez de construir controles internamente. Ferramentas como o cside podem ser implantadas em dias e incluem dashboards e relatórios de auditoria prontos para QSA, eliminando semanas ou meses de esforço de engenharia e preparação de evidências.

Sim. O cside oferece uma opção de autoimplantação que permite às equipes configurar a proteção sem um processo formal de vendas. Você pode criar uma conta, implantar a proteção nas suas páginas e começar a gerar evidências de auditoria de forma independente.

Sim. Scanners remotos são geralmente a forma mais rápida de gerar um inventário de scripts e podem entrar em operação em um dia sem exigir alterações no código. No entanto, eles têm desvantagens: os scanners observam de fora, não conseguem bloquear ataques e frequentemente são considerados insuficientes pelos QSAs devido à cobertura de segurança limitada.

Para a maioria das equipes, a implementação é simples. Soluções de fornecedores como o cside exigem poucas alterações no código e podem ser implantadas em dias, incluindo testes em pré-produção e suporte técnico para validar a instalação correta.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.

DBSC versus fingerprint de dispositivo: o que a segurança de sessão do Chrome não cobre

O DBSC do Chrome impede o reuso de cookies roubados, mas é só Chrome, pós-login e sem identidade de dispositivo. Veja a fraude que ele deixa.

Detetar e bloquear o Perplexity Shopper no seu site — blog cside

Como bloquear o Perplexity Shopper no seu site

O Perplexity Shopper navega e compra em sites de retalho em nome de utilizadores Pro. Aprenda a detetar os seus sinais e a governar esse tráfego.

Ilustração de um pedido à API da Claude e de uma resposta devolvida que pertence a outro utilizador, marcada como «a resposta não corresponde ao pedido», entre os logótipos da Anthropic e da cside

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.

Uma janela de navegador a dissolver-se num fluxo de partículas de luz azul sobre um fundo escuro

A IA está a comprimir o ciclo de exploração: o zero-day desenvolvido por IA da Google e o que isso significa para os navegadores

A Google sinalizou um zero-day que acredita ter sido criado por IA. A verdadeira mudança não é o phishing, é a rapidez com que chega ao navegador.

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.