Segurança para adquirentes e maquininhas de cartão
Como a Decripte protege fleets de POS, chaves criptográficas e o fluxo de captura contra tampering físico, firmware malicioso e ataques à cadeia de suprimentos — com conformidade PCI-DSS/PCI-PIN, SOC 24x7 e contenção em até 1 hora.
Resposta direta
Para proteger um adquirente e sua fleet de maquininhas, a prioridade é tratar cada terminal POS como um dispositivo criptográfico não confiável até prova em contrário: validar atestação de hardware e firmware antes de habilitar captura, proteger o ciclo de vida das chaves DUKPT com HSMs sob conformidade PCI-PIN, monitorar a fleet inteira em tempo real (boot anômalo, firmware fora de baseline, geolocalização inconsistente, picos de tampering switch) e manter capacidade de quarentenar terminais comprometidos remotamente em minutos. Some a isso pentest periódico de terminal e firmware, segmentação rígida da Cardholder Data Environment (CDE) e um plano de resposta a incidentes ensaiado para vazamento de PIN. A Decripte entrega exatamente isso — análise de firmware, contenção de fleet, forense de cadeia de suprimentos e atestação de dispositivo — sob SOC 24x7. Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free e veja, sem custo, onde sua operação de adquirência está exposta.
24/7
SOC monitorando a fleet de POS
<=1h
SLA de contenção de incidente
PCI-PIN
Conformidade de gestão de chaves
PCI-DSS
Exigência das bandeiras para CDE
Em resumo
- ›Cada terminal POS deve ser tratado como dispositivo criptográfico não confiável: atestação de firmware e hardware antes de habilitar captura, e revogação imediata ao primeiro sinal de tampering.
- ›As chaves DUKPT e o HSM são o ativo mais crítico do adquirente — sua gestão precisa atender PCI-PIN, com injeção segura, rotação e segregação de Key Custodians.
- ›Tampering físico e firmware malicioso em POS frequentemente chegam pela cadeia de suprimentos (logística, assistência técnica, refurbish), exigindo forense de supply chain, não só análise do dispositivo isolado.
- ›Monitorar a fleet em tempo real (boot, baseline de firmware, geolocalização, tampering switch) permite detectar skimming distribuído antes que vire vazamento massivo de PIN.
- ›A Decripte combina Pentest de POS/firmware, Conformidade PCI-DSS/PCI-PIN, SOC 24x7 e Resposta a Incidentes com SLA de contenção em até 1 hora.
- ›A jornada começa self-service: diagnóstico gratuito em decripte.io/free e planos pagos em /planos, sem formulário e sem espera comercial.
Cibersegurança para Maquininhas e Adquirência
Como a Decripte protege fleets de POS, chaves criptográficas e o fluxo de captura contra tampering físico, firmware malicioso e ataques à cadeia de suprimentos — com conformidade PCI-DSS/PCI-PIN, SOC 24x7 e contenção em até 1 hora.
Por que o adquirente é um alvo de altíssimo valor
Um adquirente — a empresa que credencia lojistas, distribui maquininhas e captura transações de cartão — concentra uma combinação rara de superfície física distribuída e ativos criptográficos de altíssimo valor. Ao contrário de um banco, cujo perímetro é majoritariamente digital e centralizado, o adquirente opera milhões de terminais POS espalhados por mãos de terceiros: lojistas, distribuidores, transportadoras, assistências técnicas e clientes finais. Cada um desses terminais carrega chaves criptográficas, executa firmware sensível e participa do fluxo que transporta PIN e dados de cartão. O perímetro não é uma rede; é uma frota física que vive fora de qualquer datacenter.
Essa distribuição transforma a segurança em um problema de escala e de confiança em hardware. Não basta proteger o data center de autorização e o switch transacional; é preciso garantir que cada um dos terminais que se conecta seja genuíno, esteja com firmware íntegro e não tenha sido fisicamente adulterado em nenhum ponto entre a fábrica e a mão do operador de caixa. Um único lote de POS comprometido — seja por firmware malicioso injetado na cadeia de suprimentos, seja por tampering físico em campo — pode capturar PINs e trilhas de milhares de portadores antes de qualquer alerta convencional disparar.
O risco é físico e digital ao mesmo tempo
No adquirente, o atacante não precisa invadir a rede corporativa. Ele pode adulterar fisicamente um terminal, injetar firmware malicioso durante o refurbish, ou clonar identidade de Merchant ID (MID). A defesa precisa cobrir o dispositivo, a chave, a cadeia de suprimentos e o fluxo transacional simultaneamente.
Some-se a isso o ambiente regulatório. O adquirente é, por definição, parte da Cardholder Data Environment (CDE) e está sujeito a PCI-DSS para todo o ecossistema de dados de cartão e a PCI-PIN para a gestão das chaves e do PIN. Os terminais precisam ser aprovados sob o programa PCI PTS (PIN Transaction Security). No Brasil, o adquirente também opera dentro do arranjo de pagamentos regulado pelo Banco Central, com obrigações de segurança, continuidade e reporte, além de tratar dados pessoais de portadores sob a LGPD, sob fiscalização da ANPD. Falhar em qualquer um desses eixos não é apenas risco técnico: é risco de descredenciamento pelas bandeiras, multa regulatória e perda de licença de operação.
O que está em jogo na CDE de um adquirente
- ›Chaves DUKPT e BDK protegidas por HSM sob PCI-PIN
- ›Firmware e configuração de cada terminal POS (PCI PTS)
- ›Fluxo de PIN block e dados de trilha em trânsito e em repouso
- ›Mapeamento de Merchant ID (MID) e Terminal ID (TID)
- ›Logs de autorização, captura e liquidação para forense
- ›Cadeia de suprimentos: fábrica, logística, refurbish, campo
O mapa de ameaças da adquirência
As ameaças que pesam sobre um adquirente se distribuem em quatro frentes que se reforçam mutuamente. Entendê-las separadamente é o primeiro passo para construir uma defesa proporcional ao valor do ativo. A primeira e mais clássica é o tampering físico e firmware malicioso em POS: abrir o gabinete para implantar um skimmer interno ou um shim que intercepta a leitura de chip e PIN, burlando os tamper switches que deveriam zerar as chaves; ou, em sua forma lógica, substituir o firmware para registrar PIN em claro e exfiltrar trilhas. Terminais PCI PTS implementam tamper-response e secure boot, mas firmware desatualizado, chaves de assinatura comprometidas ou cadeias de atualização mal protegidas reabrem a porta.
Sinais de tampering que a fleet precisa reportar
- ›Tamper switch acionado sem justificativa de manutenção
- ›Boot fora do baseline ou versão de firmware não homologada
- ›Falha ou bypass na verificação de assinatura no secure boot
- ›Terminal reaparecendo com TID/MID diferente do registrado
- ›Geolocalização inconsistente com o ponto de venda credenciado
- ›Aumento anômalo de transações negadas ou de leitura de tarja
Comprometimento de chaves DUKPT e do HSM
O esquema DUKPT (Derived Unique Key Per Transaction) existe justamente para limitar o dano: cada transação usa uma chave derivada única, de modo que comprometer a chave de uma transação não compromete as demais. Mas a segurança do DUKPT depende inteiramente da proteção da Base Derivation Key (BDK) no HSM e do processo de injeção de chave inicial (IPEK) nos terminais. Se a injeção de chave ocorre em ambiente inseguro, se a BDK vaza, ou se a separação de papéis dos Key Custodians falha, o atacante pode derivar chaves válidas e decifrar PIN blocks em escala. O HSM é, ao mesmo tempo, o cofre mais forte e o ponto único de falha mais crítico do adquirente.
Fraude de captura, MID/TID spoofing e não conformidade
Mesmo sem quebrar criptografia, um atacante pode atacar a lógica de captura. MID spoofing consiste em fazer transações fluírem sob a identidade de um lojista legítimo — para lavar dinheiro, mascarar fraude ou desviar liquidação. A clonagem ou reuso de Terminal ID, a falta de atestação forte do dispositivo na autorização e a confiança em identificadores facilmente falsificáveis abrem espaço para captura fraudulenta. Sem device attestation robusta, o switch não distingue um terminal genuíno de um emulador malicioso. Por fim, há a ameaça de governança: falhas de segmentação que expõem a CDE, ausência de monitoramento contínuo, gestão de chaves que não atende PCI-PIN, terminais fora do baseline PCI PTS e logs insuficientes para forense configuram não conformidade — que, na adquirência, é um vetor de incidente em si: a brecha pela qual o ataque entra e a razão pela qual ele não é detectado a tempo.
As quatro frentes que a defesa precisa cobrir
- ✓Integridade física e lógica do terminal (tamper-response + secure boot + baseline de firmware)
- ✓Ciclo de vida de chaves DUKPT/HSM sob PCI-PIN (BDK, IPEK, custódia, rotação)
- ✓Atestação de dispositivo e validação de MID/TID no fluxo de captura
- ✓Conformidade contínua PCI-DSS, segmentação da CDE e logging para forense
Os dados de maquininhas e adquirência já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Pentest de terminal POS e análise de firmware
A primeira linha de defesa proativa é descobrir as falhas antes do atacante. A Decripte conduz pentest especializado de terminal POS e firmware, indo muito além do scan de rede. O trabalho parte do dispositivo físico: tentativa de abertura sem disparar tamper-response, avaliação dos tamper switches e meshes, análise das portas de debug e interfaces de serviço, e teste do comportamento do terminal sob intrusão simulada para verificar se as chaves são efetivamente zeradas.
No plano lógico, extraímos e analisamos o firmware: verificamos a robustez do secure boot e da verificação de assinatura, buscamos credenciais embutidas, chaves hard-coded, funções de debug deixadas em produção, validamos o canal de atualização (OTA) contra downgrade e injeção, e revisamos como o PIN block é montado e protegido em memória. Onde há comunicação com o backend de autorização, testamos a robustez do TLS, a validação de certificado e a resistência a ataques de man-in-the-middle e replay.
O que um pentest de POS revela na prática
- ›Tamper switch que não zera as chaves em certas condições de intrusão
- ›Firmware aceitando downgrade para versão vulnerável conhecida
- ›Interface de debug habilitada permitindo dump de memória
- ›Validação fraca de certificado no canal terminal-backend
- ›Chaves de teste ou material criptográfico residual em produção
- ›Possibilidade de spoof de MID/TID por ausência de atestação forte
Cada achado é classificado por severidade e impacto sobre o portador e o arranjo, com recomendação acionável e — quando o cliente deseja — reteste após correção. O objetivo não é gerar um relatório de prateleira, mas reduzir concretamente a superfície de ataque da fleet antes que ela seja explorada em campo.
Conformidade PCI-DSS e PCI-PIN como engenharia, não papel
Conformidade no adquirente não pode ser um exercício anual de preenchimento de planilha. A Decripte trata PCI-DSS e PCI-PIN como engenharia de segurança contínua. Começamos por escopo e segmentação: mapear exatamente onde os dados de cartão e o PIN trafegam e residem, e garantir que a CDE esteja isolada do restante do ambiente, reduzindo a superfície sujeita a controle.
Em PCI-PIN, o foco é o ciclo de vida das chaves: como a BDK é gerada e protegida no HSM, como o IPEK é injetado nos terminais em ambiente seguro, como funciona a separação de papéis dos Key Custodians (nenhum indivíduo isolado deve ter acesso a material completo de chave), como ocorrem rotação e destruição, e como tudo isso é auditado. Em PCI-DSS, cobrimos o espectro de controles — proteção de dados, controle de acesso, monitoramento, gestão de vulnerabilidades e resposta — com evidência viva, não retroativa.
Conformidade que sobrevive ao dia do incidente
A diferença entre conformidade de papel e conformidade real aparece no incidente. Quando um POS é encontrado adulterado, a empresa em conformidade real consegue dizer em minutos quais terminais compartilham a mesma BDK, quais transações passaram por eles, e quais chaves precisam ser rotacionadas. A conformidade de papel descobre isso semanas depois, quando o dano já está consolidado.
Pilares de conformidade que estruturamos
- ✓Definição de escopo e segmentação da CDE com validação técnica
- ✓Gestão de chaves DUKPT/HSM sob PCI-PIN: BDK, IPEK, custódia e rotação
- ✓Baseline e atestação de terminais aprovados PCI PTS
- ✓Logging centralizado e retenção adequada para forense
- ✓Gestão contínua de vulnerabilidades em firmware e backend
- ✓Trilha de evidência viva, pronta para auditoria e para o incidente
SOC 24x7: enxergar a fleet inteira em tempo real
Pentest e conformidade reduzem a superfície, mas não substituem a vigilância contínua. Um adquirente precisa enxergar, a qualquer hora, o comportamento agregado de toda a sua fleet — e é isso que o SOC 24x7 da Decripte entrega. Correlacionamos telemetria dos terminais, do switch transacional e do backend de autorização para detectar padrões que, isolados, passariam despercebidos.
O monitoramento de fleet observa sinais específicos da adquirência: terminais reportando firmware fora do baseline homologado, eventos de tamper switch, falhas de secure boot, mudança de geolocalização incompatível com o credenciamento, surtos de transações negadas ou de fallback para tarja magnética, e anomalias na relação MID/TID. Um skimming distribuído raramente grita; ele sussurra em centenas de terminais ao mesmo tempo, e é o SOC que junta os sussurros em um alerta acionável.
Sinais que o SOC correlaciona na fleet
- ›Firmware fora do baseline ou versão não homologada em lote de terminais
- ›Eventos de tamper-response e falhas de secure boot
- ›Geolocalização do terminal inconsistente com o lojista credenciado
- ›Picos de fallback para tarja magnética e de transações negadas
- ›Reaparecimento de TID com MID divergente (indício de spoofing)
- ›Padrões de captura anômalos correlacionados entre múltiplos terminais
Quando o SOC identifica um terminal ou lote suspeito, ele não apenas alerta: aciona o runbook de contenção. A integração entre detecção e resposta é o que transforma minutos em vantagem decisiva — a diferença entre quarentenar 40 terminais e descobrir, tarde demais, que 4.000 já capturaram PIN.
Quanto custaria um incidente em maquininhas e adquirência? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Forense de cadeia de suprimentos: onde o ataque realmente nasce
O diferencial mais importante na defesa de um adquirente é entender que o POS adulterado raramente foi comprometido no balcão do lojista. Na maioria dos cenários sérios, a adulteração entra pela cadeia de suprimentos: firmware malicioso injetado na fábrica ou num intermediário, hardware modificado durante o transporte, terminais refurbished com componente trocado, ou um insider numa assistência técnica. Tratar o incidente apenas no dispositivo encontrado é remediar o sintoma e deixar a doença ativa.
A Decripte conduz forense de cadeia de suprimentos: reconstruímos a procedência de cada terminal afetado — lote de fabricação, rota logística, eventos de manutenção e refurbish, ponto de injeção de chave — para identificar onde a contaminação ocorreu e quais outros terminais compartilham a mesma origem suspeita. Esse rastreamento define o verdadeiro raio de contenção, frequentemente muito maior do que os poucos dispositivos inicialmente detectados em campo.
Conter só o terminal encontrado é uma armadilha
Se três POS adulterados foram detectados, a pergunta certa não é 'como limpo estes três'. É 'qual lote, rota e ponto de refurbish eles têm em comum, e quantos outros terminais com a mesma origem ainda estão capturando PIN agora'. Sem forense de supply chain, a contenção é parcial por definição.
Estrutura de defesa em profundidade para adquirência
Reunindo as peças, a defesa de um adquirente se organiza em camadas que vão do silício do terminal ao governo do arranjo. Nenhuma camada isolada é suficiente; é a soma que entrega resiliência.
Camadas da defesa em profundidade
- ✓Hardware confiável: terminais PCI PTS com tamper-response funcional e secure boot validado
- ✓Atestação: nenhum terminal captura sem comprovar firmware íntegro e identidade genuína
- ✓Criptografia gerida: DUKPT com BDK no HSM sob PCI-PIN, injeção segura e rotação
- ✓Segmentação: CDE isolada, fluxo de PIN minimizado e acesso por menor privilégio
- ✓Vigilância: SOC 24x7 correlacionando telemetria de fleet, switch e backend
- ✓Resposta: runbook de quarentena de fleet e rotação de chave pronto e ensaiado
- ✓Governança: conformidade viva PCI-DSS/PCI-PIN e forense de cadeia de suprimentos
O princípio que costura tudo é o zero trust aplicado ao hardware: cada terminal é não confiável até provar, a cada interação, que é genuíno e íntegro. Esse princípio, somado à capacidade de agir sobre a fleet inteira em minutos, é o que separa um adquirente que sofre um susto contido de um que vira manchete por vazamento massivo de PIN.
Anatomia de um lote de POS adulterado capturando PIN (cenário ilustrativo)
Cenário ilustrativo
Este é um cenário ILUSTRATIVO, não um cliente real, construído a partir de incidentes típicos da adquirência para mostrar como a Decripte atua. Um adquirente de médio porte, com cerca de 600 mil terminais em campo, recebe alertas de bandeira sobre fraude concentrada em uma região. Internamente, o time nota um leve aumento de fallback para tarja e algumas negações atípicas, mas nada que, isolado, justifique alarme. Na verdade, um subconjunto de terminais refurbished recebeu firmware malicioso durante o processo de recondicionamento em um fornecedor terceirizado — o firmware registra o PIN em claro e o exfiltra junto à próxima atualização de telemetria. A captura já dura semanas quando a Decripte é acionada.
Detecção
O SOC 24x7 correlaciona três sinais que, separados, seriam ruído: um cluster de terminais reportando versão de firmware ligeiramente fora do baseline homologado, picos sincronizados de fallback para tarja, e geolocalização concentrada incompatível com o padrão de credenciamento. A correlação eleva o caso a incidente de tampering de fleet e dispara o runbook. Em paralelo, identifica-se que os terminais suspeitos compartilham um marcador comum: passaram pelo mesmo ciclo de refurbish.
Contenção
Dentro do SLA de contenção de até 1 hora, a Decripte aciona a quarentena remota dos terminais afetados — bloqueio de captura no switch transacional para os TIDs do cluster suspeito e suspensão da habilitação desses dispositivos. A fleet legítima permanece operando; apenas o lote contaminado é isolado. Em paralelo, iniciamos a contenção criptográfica: identificamos quais terminais compartilham a mesma BDK e preparamos a rotação de chave para o segmento exposto.
Erradicação
A análise de firmware confirma o payload malicioso: a função que registra e exfiltra o PIN, o canal encoberto na rotina de telemetria e o bypass da verificação de assinatura que permitiu a injeção durante o refurbish. A forense de cadeia de suprimentos reconstrói a procedência: todos os terminais comprometidos passaram pelo mesmo fornecedor de recondicionamento, numa janela específica. Isso expande o raio de contenção de algumas centenas de dispositivos detectados para todo o lote com a mesma origem — incluindo terminais ainda não acionados, mas já contaminados.
Recuperação
Os terminais são recolhidos e reprovisionados com firmware homologado e assinatura validada; as chaves do segmento afetado são rotacionadas (nova BDK, reinjeção de IPEK em ambiente seguro sob PCI-PIN). O secure boot e o canal de atualização são reforçados contra downgrade e injeção. A device attestation é endurecida para que nenhum terminal volte a capturar sem comprovar firmware íntegro e identidade genuína. O switch passa a rejeitar terminais fora de baseline.
Lições e estruturação
A Decripte entrega o relatório forense (com a linha do tempo, o ponto de comprometimento na cadeia e a lista de terminais por procedência), apoia a notificação às bandeiras e o reporte regulatório, e — sob LGPD — orienta a comunicação à ANPD e aos portadores afetados quando há risco relevante. Estruturalmente, implanta-se monitoramento de baseline de firmware como controle permanente no SOC, atestação obrigatória na captura, e cláusulas e auditoria de segurança no contrato com fornecedores de refurbish, fechando o vetor de cadeia de suprimentos.
Desfecho com a Decripte
O cenário ilustra a diferença que a combinação de SOC 24x7, contenção em até 1 hora, análise de firmware e forense de cadeia de suprimentos faz: em vez de descobrir o vazamento meses depois pela imprensa, o adquirente isola o lote, rotaciona as chaves expostas, reprovisiona os dispositivos e fecha o vetor de origem — preservando a fleet legítima e a confiança das bandeiras. O aprendizado central é que conter o terminal encontrado nunca basta; é a forense de procedência que define o verdadeiro raio do dano. Para descobrir, sem custo, onde sua operação de adquirência está exposta hoje, comece pelo diagnóstico gratuito em decripte.io/free.
Não espere o incidente acontecer. Comece a blindar maquininhas e adquirência hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente de adquirência
Quando um terminal adulterado, um vazamento de PIN ou um comprometimento de chave é suspeitado, cada minuto conta. A Decripte opera um fluxo de resposta a incidentes desenhado para a realidade da adquirência — onde o dano se multiplica pela escala da fleet e a contenção precisa agir sobre milhares de dispositivos sem derrubar a operação legítima.
- Triagem e ativação: o SOC 24x7 classifica o evento (tampering, vazamento de PIN, comprometimento de chave, MID spoofing) e ativa o runbook específico, acionando o time de resposta dentro do SLA de contenção de até 1 hora.
- Contenção da fleet: quarentena remota dos terminais ou lotes suspeitos via bloqueio de captura no switch transacional e suspensão de habilitação, isolando o cluster afetado sem impactar os terminais legítimos.
- Contenção criptográfica: identificação de quais terminais compartilham a mesma BDK e preparação imediata da rotação de chave para o segmento exposto, limitando a janela de PIN comprometido.
- Análise de firmware e dispositivo: extração e análise do firmware suspeito para confirmar o payload, o canal de exfiltração e o vetor de injeção, com determinação técnica do impacto sobre PIN e dados de cartão.
- Forense de cadeia de suprimentos: reconstrução da procedência dos terminais (lote, rota logística, refurbish, ponto de injeção de chave) para encontrar a origem real e expandir a contenção a todos os dispositivos com a mesma origem.
- Erradicação e recuperação: reprovisionamento com firmware homologado, rotação de chaves (nova BDK e reinjeção de IPEK sob PCI-PIN), endurecimento de secure boot, atestação e canal de atualização.
- Reporte e conformidade: suporte à notificação das bandeiras, ao reporte ao arranjo regulado pelo Banco Central e, sob LGPD, à comunicação à ANPD e aos titulares quando há risco relevante.
- Lições aprendidas e hardening: relatório forense completo, implantação de controles permanentes (baseline de firmware no SOC, atestação obrigatória, auditoria de fornecedores) e fechamento definitivo do vetor explorado.
Como a Decripte estrutura a segurança de uma adquirente
Responder bem é essencial, mas o objetivo é que o próximo incidente simplesmente não aconteça — ou seja contido antes de virar dano. A Decripte estrutura a segurança da adquirência em pilares que cobrem o terminal, a chave, a fleet, o fluxo e a governança, transformando segurança reativa em postura resiliente e auditável.
Confiança de hardware e firmware
Terminais aprovados PCI PTS com tamper-response funcional, secure boot validado e baseline de firmware homologado. Nenhum dispositivo opera fora da versão íntegra esperada, e o canal de atualização é protegido contra downgrade e injeção.
Atestação de dispositivo
Cada terminal precisa comprovar, na captura, que é genuíno e está íntegro — device attestation forte que impede emuladores, terminais clonados e MID/TID spoofing de fluírem pelo switch transacional.
Gestão criptográfica sob PCI-PIN
Ciclo de vida completo das chaves DUKPT: BDK protegida no HSM, injeção de IPEK em ambiente seguro, separação de papéis de Key Custodians, rotação e destruição auditadas. O HSM tratado como o ativo mais crítico do adquirente.
Segmentação e minimização da CDE
Cardholder Data Environment isolada do restante do ambiente, fluxo de PIN minimizado, acesso por menor privilégio e escopo PCI bem definido — reduzindo a superfície sujeita a comprometimento e a controle.
Vigilância contínua da fleet
SOC 24x7 correlacionando telemetria de terminais, switch e backend para detectar tampering distribuído, firmware fora de baseline, anomalias de geolocalização e padrões de captura suspeitos antes que virem vazamento massivo.
Governança de cadeia de suprimentos
Auditoria e cláusulas de segurança com fornecedores de fabricação, logística e refurbish; rastreabilidade de procedência por dispositivo; forense de supply chain como capacidade permanente, não improvisada no incidente.
Planos recomendados para Maquininhas e Adquirência
Conformidade
PCI-DSS e PCI-PIN não são opcionais para um adquirente: definem o escopo da CDE, a gestão de chaves DUKPT/HSM e a aprovação PCI PTS dos terminais. Estruturamos conformidade viva, com evidência pronta para auditoria e para o dia do incidente.
Ver plano →SOC 24x7
Uma fleet de milhões de POS precisa de vigilância ininterrupta. O SOC correlaciona telemetria de terminais, switch e backend para detectar tampering distribuído, firmware fora de baseline e skimming silencioso antes que vire vazamento massivo de PIN.
Ver plano →Resposta a Incidentes
Quando um lote adulterado é detectado, a contenção precisa agir sobre a fleet em minutos. Nosso runbook de quarentena remota, rotação de chave e forense de cadeia de suprimentos opera sob SLA de contenção de até 1 hora.
Ver plano →Pentest
Pentest de terminal POS e análise de firmware descobrem tamper switches que não zeram chaves, secure boot frágil, downgrade de firmware e ausência de atestação — falhas exploráveis em campo — antes que o atacante as encontre.
Ver plano →Perguntas frequentes
Como detectar se terminais POS da minha fleet foram adulterados?
A detecção confiável vem da correlação de sinais que, isolados, parecem ruído: firmware fora do baseline homologado em um cluster de terminais, eventos de tamper switch, falhas de secure boot, geolocalização incompatível com o lojista credenciado, picos de fallback para tarja e anomalias na relação MID/TID. Um SOC 24x7 especializado em fleet junta esses sinais em um alerta acionável. Você pode começar avaliando sua exposição gratuitamente em decripte.io/free.
O que é PCI-PIN e por que ele importa tanto para um adquirente?
PCI-PIN é o padrão que rege a proteção do PIN e das chaves criptográficas usadas em transações com cartão, ao longo de todo o seu ciclo de vida — geração, injeção, uso, rotação e destruição. Para um adquirente, ele define como a Base Derivation Key (BDK) deve ser protegida no HSM, como o IPEK é injetado nos terminais e como deve funcionar a separação de papéis dos Key Custodians. Falhar em PCI-PIN é, na prática, deixar exposto o ativo mais crítico da operação.
O DUKPT não protege cada transação com uma chave única? Por que ainda preciso me preocupar?
Sim, o DUKPT deriva uma chave única por transação, o que limita o dano de comprometer uma chave isolada. Mas toda a segurança depende da proteção da BDK no HSM e do processo de injeção de chave. Se a BDK vaza, se a injeção ocorre em ambiente inseguro ou se a custódia de chaves falha, o atacante pode derivar chaves válidas em escala. DUKPT é uma defesa poderosa, não uma garantia absoluta — ele precisa de gestão correta de chaves para cumprir seu papel.
Um POS comprometido geralmente é adulterado no lojista ou antes?
Na maioria dos cenários sérios, a adulteração entra pela cadeia de suprimentos — firmware malicioso injetado na fábrica ou num intermediário, hardware modificado em trânsito, ou terminais refurbished com componente trocado — e não no balcão do lojista. Por isso a forense de cadeia de suprimentos é decisiva: ela reconstrói a procedência (lote, rota, refurbish, injeção de chave) e revela o verdadeiro raio do comprometimento, que costuma ser muito maior do que os dispositivos detectados em campo.
Quanto tempo a Decripte leva para conter um incidente de tampering de fleet?
A Decripte opera com SLA de contenção de até 1 hora. Na prática, isso significa quarentenar remotamente os terminais ou lotes suspeitos via bloqueio de captura no switch, isolando o cluster afetado sem derrubar a operação legítima, e iniciar imediatamente a contenção criptográfica (identificação de chaves compartilhadas e preparação da rotação). A velocidade é o que limita a janela de PIN comprometido.
Preciso notificar a ANPD e os portadores se houver vazamento de PIN?
Sob a LGPD, dados de cartão e PIN são dados pessoais, e um vazamento que possa acarretar risco relevante aos titulares exige comunicação à ANPD e aos afetados em prazo razoável. Há ainda obrigações junto às bandeiras e ao arranjo de pagamentos regulado pelo Banco Central. A Decripte apoia tanto a forense que fundamenta a notificação quanto a estruturação da comunicação, para que o reporte seja preciso e tempestivo.
Como faço device attestation para impedir MID/TID spoofing?
A atestação de dispositivo exige que cada terminal comprove, no momento da captura, que é genuíno e está com firmware íntegro — usando material criptográfico ligado ao hardware seguro e validação no switch transacional. Isso impede que emuladores, terminais clonados ou identidades de Merchant ID falsificadas fluam pelo fluxo de autorização. A Decripte estrutura essa atestação como parte do hardening da fleet, integrada ao monitoramento do SOC.
Como começo a avaliar a segurança da minha operação de adquirência?
O caminho mais rápido e sem compromisso é o diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que mostra onde sua operação está exposta. A partir daí, você contrata os planos adequados de forma self-service em /planos — Conformidade, SOC 24x7, Resposta a Incidentes e Pentest costumam ser a combinação certa para adquirentes, sem necessidade de formulário ou espera comercial.
Termos do setor
- DUKPT (Derived Unique Key Per Transaction)
- Esquema criptográfico em que cada transação usa uma chave única derivada de uma chave-base (BDK) protegida no HSM, de modo que o comprometimento da chave de uma transação não compromete as demais — desde que a BDK e o processo de injeção estejam protegidos.
- HSM (Hardware Security Module)
- Dispositivo de hardware dedicado e resistente a violação que gera, armazena e usa material criptográfico sem expô-lo. No adquirente, guarda a BDK e executa as operações de derivação e validação de PIN — é o cofre mais forte e o ponto único de falha mais crítico.
- PCI-PIN
- Padrão do PCI Security Standards Council que rege a proteção do PIN e das chaves criptográficas ao longo de todo o ciclo de vida, incluindo geração, injeção, uso, rotação e destruição, com exigências de custódia e segregação de papéis.
- PCI PTS (PIN Transaction Security)
- Programa de aprovação de segurança física e lógica dos dispositivos POS, incluindo proteções de tamper-response e secure boot. Terminais usados na captura de PIN precisam ser aprovados sob PTS.
- CDE (Cardholder Data Environment)
- Conjunto de pessoas, processos e sistemas que armazenam, processam ou transmitem dados de portador de cartão ou dados sensíveis de autenticação. Definir e segmentar a CDE é a base do escopo PCI-DSS.
- MID/TID spoofing
- Ataque em que transações fluem sob a identidade falsificada de um lojista (Merchant ID) ou terminal (Terminal ID) legítimo, usado para fraude, lavagem ou desvio de liquidação — mitigado por atestação forte de dispositivo.
A Decripte protege e responde a incidentes no setor de maquininhas e adquirência.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.