PCI DSS 4.0.1
Como estar em conformidade com PCI DSS 4.0.1 - 6.4.3 e 11.6.1
cside permite que você gerencie e esteja em conformidade com ambos os requisitos.
cside permite que você gerencie e esteja em conformidade com ambos os requisitos.
O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de diretrizes que garante a segurança das transações com cartão globalmente. Criado pelo PCI Security Standards Council, seu objetivo é proteger contra roubo de dados e fraude em transações com cartões de débito e crédito.
PCI DSS 4.0.1 aplica-se a todas as entidades que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação sensíveis (SAD), ou que possam impactar a segurança do ambiente de dados do titular do cartão (CDE). Isso inclui todas as entidades de processamento de contas de cartões de pagamento, como comerciantes, processadores, adquirentes, emissores e outros provedores de serviço. Uma novidade do 4.0.1 é o monitoramento e gestão de JavaScript de terceiros, abordado pelos requisitos 6.4.3 e 11.6.1.
Em 30 de janeiro de 2025, o PCI DSS anunciou uma atualização para os requisitos 6.4.3 e 11.6.1. Empresas com Questionário de Autoavaliação nível A estão isentas, embora devam confirmar que seu site não é suscetível a ataques de scripts que possam afetar o(s) sistema(s) de eCommerce do comerciante.
SAQ A, projetado para os comerciantes menos vulneráveis, os isenta de certos requisitos do PCI DSS, dado que não armazenam Dados do Titular do Cartão (CHD). No entanto, o monitoramento abrangente permanece fundamental para a segurança.
cside automatiza os requisitos 6.4.3 e 11.6.1 com monitoramento de scripts em tempo real, verificação de integridade de scripts e relatórios abrangentes prontos para auditoria.
Como parte das adições do PCI DSS 4.0.1 que estão em vigor desde 31 de março de 2025, o requisito 6.4.3 exige que as empresas:
Em páginas que tratam informações sensíveis do usuário (cartões de pagamento, informações de saúde, PII) você precisa ter um mecanismo para monitorar scripts de terceiros, o que eles estão fazendo nos navegadores dos seus usuários, e alertar as equipes de segurança quando scripts estão se comportando de forma suspeita.
Obrigatório desde 31 de março de 2025 para qualquer site que aceite pagamentos digitais
Como parte das adições do PCI DSS 4.0.1 que estão em vigor desde 31 de março de 2025, o requisito 11.6.1 exige que as empresas:
Cabeçalhos HTTP são regras que instruem o navegador do usuário sobre como tratar o conteúdo de uma página. Alterar esses cabeçalhos (ex: por um script malicioso) pode enfraquecer proteções de segurança. PCI DSS 11.6.1 exige que as empresas tenham um mecanismo que verifique regularmente (pelo menos uma vez a cada sete dias) por mudanças não autorizadas nos cabeçalhos e alerte a equipe de segurança quando elas ocorrerem.
Requer capacidades técnicas de monitoramento e avaliação
*Definições baseadas no PCI DSS v4.0.1 - Jun. 2024. Esta é a versão mais atualizada até setembro de 2025. Para ver documentos oficiais visite a biblioteca do PCI SSC.
O único objetivo de muitas soluções tradicionais é apenas marcar a caixa de conformidade, deixando de lado o mais alto nível de segurança. Abordagens como soluções baseadas em crawler verificam periodicamente e podem ser evadidas. CSPs abordam a origem, não o payload. Agentes do lado do cliente podem ser detectados e contornados.
A solução do cside fica entre scripts de terceiros e os navegadores. Temos a capacidade de ver cada solicitação e payload de script, fornecendo alertas em tempo real e capacidades de bloqueio antes de comprometer os usuários.
Fornecemos visibilidade completa do comportamento de scripts, rastreamento histórico e a capacidade de detectar ameaças dinâmicas ou específicas por usuário que outras soluções não detectam.
| Critérios | Por Que Importa | Quais São as Consequências | CSP | Crawler | Baseado em JS | Híbrido |
|---|---|---|---|---|---|---|
| Proteção em Tempo Real | Ataques podem ocorrer entre verificações ou nos dados excluídos quando amostrados | Detecção atrasada = violações de dados ativas | | | | |
| Análise Completa do Payload | Garante visibilidade profunda em comportamentos maliciosos dentro do próprio código do script | Ameaças passam despercebidas a menos que a fonte seja conhecida em um feed de ameaças | | | | |
| Detecção Dinâmica de Ameaças | Necessária para resposta a incidentes, auditoria e conformidade | Evita trade-offs entre desempenho e segurança | | | | |
| 100% de Rastreamento Histórico e Análise Forense | Necessário para resposta a incidentes, auditoria e conformidade | Evita trade-offs entre desempenho e segurança | | | | |
| Sem Impacto no Desempenho | Evita trade-offs entre desempenho e segurança | Tempos de carregamento mais altos podem reduzir conversões e prejudicar a experiência do usuário | | | | |
| Proteção Contra Bypass | Impede atacantes de contornar controles via ofuscação de DOM ou evasão | Ameaças furtivas continuam indetectadas | | | | |
| Certeza de que o Script Visto pelo Usuário é Monitorado | Alinha a análise com o que realmente é executado no navegador | Lacunas entre o que é revisado e o que é realmente executado | | | | |
| Análise de Scripts por IA | Detecta ameaças novas ou em evolução através de modelagem de comportamento | Dependência de atualizações manuais, feeds de ameaças ou regras = detecção lenta e propensa a erros | | | | |
| Complexidade e Prazo de Implementação | Impacta o tempo até o valor e custos de recursos internos | Prazos longos de implantação reduzem a agilidade | high | medium | medium | low |
| Pode atender ao requisito 11.6.1 | 11.6.1 refere-se ao monitoramento de alterações nos cabeçalhos de segurança, bem como no próprio conteúdo dos scripts | Não monitorar cabeçalhos de segurança viola o 11.6.1. Cabeçalhos ausentes ou alterados sinalizam ataques potenciais. | | | | |
Empresas líderes confiam no cside
Construído para equipes de segurança que precisam de visibilidade dentro do navegador, cside oferece defesa comprovada contra ataques modernos do lado do cliente enquanto suporta os principais frameworks de conformidade. Seu parceiro de confiança para conformidade regulatória no navegador. Somos seu parceiro de confiança para proteger a última milha da web.
Visit our Trust Center
GDPR 
SOC 2 
PCI DSS Como seu parceiro em segurança web, queremos que você consiga nos contatar facilmente. Cada cliente tem acesso direto à nossa equipe pelo Slack e Microsoft Teams. Respondemos em minutos, seja para solicitações de funcionalidades, dúvidas ou ideias.
Comece a monitorar e proteger scripts de terceiros nos seus sites hoje. Cumpra os requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1.
*Esta página descreve capacidades do produto e como elas podem apoiar seu programa de conformidade. Não constitui aconselhamento jurídico. Os requisitos variam por organização e jurisdição.