Guias Práticos

PCI DSS para retalho: obrigações para lojas físicas e como reduzi-las

18 de março de 2025 5 min de leitura

A conformidade PCI DSS no retalho físico é frequentemente percecionada como um problema que afeta apenas o setor do comércio eletrónico. Na realidade, qualquer loja que aceite pagamentos com cartão de crédito ou débito está sujeita ao PCI DSS, independentemente da sua dimensão e canal. Os terminais POS, os sistemas de caixa, as redes WiFi do ponto de venda e até os dispositivos móveis utilizados para pagamentos fazem parte do perímetro. Identificar onde se encontram os pontos de risco é o primeiro passo para gerir a conformidade de forma eficiente.

PCI DSS para retalho: obrigações para lojas físicas e como reduzi-las

POS, terminais e CDE: os pontos de contacto PCI no retalho físico

No retalho físico, o ambiente de dados de titulares de cartão começa no terminal POS. Se o terminal estiver certificado P2PE (Point-to-Point Encryption), o PAN é encriptado diretamente no dispositivo de hardware antes de sair e nunca circula em texto claro pela rede da loja. Isto reduz drasticamente o perímetro PCI: os sistemas ligados à rede da loja mas não ao terminal P2PE ficam fora do CDE. Sem P2PE certificado, qualquer sistema na mesma rede que o terminal POS está potencialmente em âmbito.

O sistema de caixa (software POS), os servidores de back-office que registam as transações, a rede WiFi da loja acessível a partir dos mesmos dispositivos utilizados para pagamentos e os sistemas de fidelização que associam dados de cartão a perfis de clientes são todos elementos a avaliar. Um inventário preciso dos fluxos de dados de cartão no ponto de venda é o requisito prévio para determinar que sistemas estão em âmbito e que controlos aplicar.

Obrigações PCI DSS para o retalho por volume de transações

Os níveis de comerciante PCI DSS baseiam-se no volume anual de transações com cartão. Um retalhista com menos de 20.000 transações Visa via comércio eletrónico ou menos de 1 milhão de transações totais está classificado como Nível 4 e pode preencher um SAQ de forma autónoma, tipicamente o SAQ B (terminais autónomos não ligados à internet) ou o SAQ B-IP (terminais IP autónomos). Um retalhista de Nível 2 (de 1 a 6 milhões de transações) deve preencher um SAQ anual e, em algumas redes, um scan de vulnerabilidades trimestral certificado (ASV).

Um erro comum é pensar que as lojas físicas têm obrigações menos exigentes do que o comércio eletrónico. Frequentemente acontece o contrário: os canais físicos apresentam riscos específicos como o skimming físico de terminais, as vulnerabilidades da rede interna do ponto de venda e a gestão de acessos físicos aos dispositivos. O PCI DSS contempla controlos específicos para a segurança física dos terminais (Requisito 9) que não têm equivalente no canal online.

Como simplificar a conformidade no ponto de venda

A estratégia mais eficaz para reduzir as obrigações no retalho físico combina terminais certificados P2PE com uma rede do ponto de venda segmentada. Com terminais P2PE validados pelo PCI SSC, o SAQ aplicável reduz-se ao SAQ P2PE, que tem apenas 35 requisitos face a mais de 200 do SAQ D. A escolha do terminal não é indiferente: apenas os terminais incluídos na lista de soluções P2PE validadas no site do PCI SSC permitem esta redução. Os terminais com encriptação proprietária não certificada não oferecem as mesmas vantagens.

Para os retalhistas que gerem também um canal de comércio eletrónico ou um call center além do físico, a tokenização do vault permite utilizar o mesmo sistema de armazenamento seguro para todos os canais. Os tokens emitidos pela PCI Proxy EU funcionam tanto para pagamentos online como para operações de back-office associadas a cartões registados na loja. Isto unifica a gestão da conformidade numa única plataforma em vez de gerir sistemas separados para cada canal.

Perguntas frequentes

Um POS certificado P2PE elimina as obrigações PCI?

Não as elimina, mas reduz drasticamente o perímetro. Com uma solução P2PE validada, o SAQ aplicável desce para 35 controlos e muitos requisitos de infraestrutura não se aplicam aos sistemas do comerciante. As obrigações residuais referem-se principalmente à segurança física dos terminais, aos procedimentos de notificação de manipulações e à formação do pessoal. O QSA pode confirmar a aplicabilidade da redução caso a caso.

Tenho 3 lojas físicas: tenho um único nível de comerciante ou três?

O nível de comerciante calcula-se ao nível da entidade legal (merchant ID), não do ponto de venda individual. Se as três lojas operam sob o mesmo merchant ID com o mesmo adquirente, os volumes somam-se e o nível é único. Se cada loja tem um merchant ID separado, cada entidade tem o seu próprio nível. É uma prática habitual consolidar os merchant IDs para simplificar a gestão da conformidade, mas deve ser verificado com o adquirente.

A conformidade PCI DSS aplica-se também aos códigos QR?

Depende de como o pagamento é processado. Se o código QR redireciona para uma página de pagamento alojada pelo PSP sem que o comerciante veja os dados de cartão, o âmbito é muito reduzido. Se, pelo contrário, o código QR inicia um fluxo que transmite dados de cartão através da infraestrutura do comerciante, esses sistemas entram no CDE. Muitas soluções de pagamento por QR geridas por fornecedores certificados eliminam o problema de raiz.

Conformidade PCI no retalho sem abrandar as operações de caixa. Descubra a PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.