Criptografia ponta a ponta (P2PE): como funciona e o que significa para a conformidade com PCI

Terminal
Terminal

Ofereça aos clientes uma experiência de unified commerce nas interações online e presenciais. O Stripe Terminal disponibiliza recursos para desenvolvedores, máquinas de cartão pré-certificadas, Tap to Pay em dispositivos Android e iPhones compatíveis e gestão de dispositivos em nuvem para plataformas e grandes empresas.

Saiba mais 
  1. Introdução
  2. Principais conclusões
  3. O que é criptografia ponto a ponto (P2PE)?
  4. Como a criptografia ponta a ponta (P2PE) funciona em uma transação?
  5. Qual é a diferença entre a criptografia ponta a ponta (P2PE) validada pelo PCI e a não validada?
    1. P2PE validado pelo PCI
    2. Implicações do Questionário de Autoavaliação (SAQ)
    3. P2PE não validado
    4. Risco do escopo não validado
  6. Por que a criptografia ponta a ponta (P2PE) é importante para o seu escopo de conformidade com PCI?
  7. Como a criptografia ponta a ponta (P2PE) se compara à tokenização e à criptografia sozinhas?
  8. O que a implementação da criptografia ponta a ponta (P2PE) de fato exige?
    1. Hardware
    2. Gestão de chaves
    3. Treinamento de pessoal
    4. Gerenciamento de dispositivos
  9. Como o Stripe Terminal pode ajudar

A criptografia ponta a ponta (P2PE) é uma estrutura de segurança de pagamento que criptografa os dados do titular do cartão dentro de uma máquina de cartão antes que os dados toquem qualquer software, rede ou servidor empresarial. O P2PE também mantém os dados criptografados até que cheguem ao ambiente de descriptografia do provedor de pagamento. Trata-se de um elemento fundamental de redução de escopo na conformidade com o Payment Card Industry Data Security Standard (PCI DSS) e é o que separa um ambiente do comerciante que lida com dados do cartão em texto simples (plaintext) de um que nunca chega a ter acesso a esses dados.

Quando se trata de criptografia, as apostas são altas para as empresas. O custo médio global de uma violação de dados alcançou US$ 4,4 milhões em 2025. Manter os dados do titular do cartão fora dos sistemas de uma empresa reduz o risco de violação e a possível responsabilidade. A seguir, abordaremos como o P2PE funciona do ponto de vista técnico, como ele difere da tokenização e da criptografia geral, e o que uma implementação validada exige.

Principais conclusões

  • O P2PE criptografa os dados do titular do cartão no ponto de captura e os descriptografa somente dentro da infraestrutura do provedor de pagamento, portanto, não há dados do cartão em texto simples (plaintext) no ambiente do comerciante.

  • Empresas que usam uma solução P2PE validada pelo PCI normalmente se qualificam para o Questionário de Autoavaliação (SAQ) P2PE, que é uma avaliação de conformidade mais curta.

  • O P2PE e a tokenização resolvem problemas diferentes: o P2PE protege os dados na captura e na transmissão, enquanto a tokenização substitui os dados do cartão armazenados por um valor substituto para o uso futuro.

O que é criptografia ponto a ponto (P2PE)?

O P2PE é um padrão de segurança de pagamento que criptografa os dados do titular do cartão exatamente no momento em que um cartão interage com uma máquina. Isso ocorre antes de os dados tocarem o software ou a rede da empresa e mantém os dados criptografados até que cheguem a um ambiente de descriptografia seguro, controlado pelo provedor de pagamento. O número de conta principal (PAN) do titular do cartão e outros dados confidenciais nunca ficam expostos em um formato legível em nenhum lugar no ambiente do comerciante.

Como a criptografia ponta a ponta (P2PE) funciona em uma transação?

O P2PE ocorre quando um cliente aproxima, insere ou passa o cartão em uma máquina certificada que criptografa os dados internamente antes da saída de informações. No momento em que o cartão é lido, o módulo criptográfico seguro do dispositivo o criptografa com uma chave injetada durante a fabricação ou por meio de um processo controlado de injeção de chaves. O dispositivo pode usar a chave para criptografar os dados, mas não pode descriptografá-los. A descriptografia exige uma chave à parte que fica apenas com o provedor de pagamento.

O payload criptografado se chama texto cifrado (ciphertext). Ele sai do dispositivo, viaja pelo sistema de ponto de venda (POS) e pela rede da empresa e passa pelo software e pela infraestrutura da empresa, mas nenhuma dessas infraestruturas consegue lê-lo. O texto cifrado (ciphertext) chega ao ambiente seguro de descriptografia do provedor de pagamento, onde a chave privada recupera o PAN e a transação é processada.

O software de POS, os switches de rede e os servidores da empresa lidam apenas com o texto cifrado (ciphertext). A violação desse ambiente (como um servidor comprometido, uma pessoa infiltrada com más intenções ou uma invasão de rede) não gera nenhuma informação aproveitável, já que os dados do cartão nunca estiveram lá em formato legível.

Qual é a diferença entre a criptografia ponta a ponta (P2PE) validada pelo PCI e a não validada?

O PCI Security Standards Council mantém uma lista formal de soluções P2PE validadas. Veja como isso funciona.

P2PE validado pelo PCI

Uma solução ganha essa designação apenas após um avaliador independente auditar a pilha completa, que inclui o hardware, a gestão de chaves, o ambiente de descriptografia e os controles de operações. A avaliação é exaustiva, e o PCI Security Standards Council publica as soluções validadas em uma lista pública que pode ser usada como referência pelas empresas e por seus Avaliadores Qualificados de Segurança (QSAs), que são especialistas em segurança de dados autorizados a validar a adesão ou não das empresas ao PCI DSS.

Implicações do Questionário de Autoavaliação (SAQ)

Empresas que usam corretamente uma solução validada sem nenhum outro armazenamento de dados de cartão geralmente se qualificam para o SAQ P2PE, que consiste em pouco mais de 30 perguntas. O SAQ D, o padrão de muitos ambientes de cartão presente (CP) sem um P2PE validado, pode passar das 300 perguntas.

P2PE não validado

Essas implementações seguem o mesmo conceito geral: criptografar na captura e descriptografar fora do ambiente do comerciante, de modo independente do processo de avaliação formal do PCI Security Standards Council. Elas não carregam os benefícios automáticos de redução de escopo sob o PCI DSS.

Risco do escopo não validado

Com uma solução não validada, a empresa ainda pode defender a redução do escopo, mas seria necessário demonstrar os próprios controles durante uma avaliação, e seu banco adquirente ou QSA podem não aceitar esse argumento.

Por que a criptografia ponta a ponta (P2PE) é importante para o seu escopo de conformidade com PCI?

A redução do escopo do PCI DSS é um benefício financeiro da implantação correta de P2PE. O escopo é determinado pelos sistemas que armazenam, processam ou transmitem os dados do titular do cartão ou que poderiam afetar a segurança daqueles que o fazem.

Considere os seguintes fatores:

  • Qualificação para SAQ: esse é o caminho de avaliação mais curto disponível para ambientes de CP.

  • Custos com QSA: um escopo mais restrito representa menos sistemas para análise por um Avaliador Qualificado de Segurança. Essa é uma redução significativa na dificuldade de avaliação para varejistas de vários locais.

  • Operações mais simples: com menos sistemas no escopo, os requisitos de gestão de correções, registro em log e controle de acesso se aplicam a uma base menor.

Apesar de nada disso acabar com a necessidade da conformidade com PCI, esse processo reestrutura o que a conformidade exige de você. Tenha em mente que a conformidade com PCI DSS lida com o escopo, mas não com todas as possíveis consequências de uma violação.

Como a criptografia ponta a ponta (P2PE) se compara à tokenização e à criptografia sozinhas?

P2PE, tokenização e criptografia foram criadas para atuar juntas. O P2PE abrange a fase de captura e transmissão, e a tokenização abrange o armazenamento e a reutilização. As duas abordagens se complementam porque resolvem problemas distintos em diferentes pontos do ciclo de vida de pagamento.

Veja como:

  • Somente criptografia: a criptografia padrão de Transport Layer Security (TLS) protege os dados em trânsito entre os sistemas, mas não evita a exposição em endpoints. Se o servidor de uma empresa receber uma transmissão criptografada e fizer a descriptografia, os dados em texto simples (plaintext) passarão a existir no servidor.

  • P2PE: captura os dados com segurança. Os dados do titular do cartão entram no ambiente do comerciante já criptografados e saem ainda criptografados. A descriptografia ocorre totalmente fora da infraestrutura da empresa. O ambiente nunca retém um PAN que possa ser usado.

  • Tokenização: armazena os dados com segurança. Depois que uma transação é autorizada, um token (ou seja, um valor substituto sem dados intrínsecos do cartão) é retornado e armazenado no lugar do PAN. Se a empresa precisar processar uma transação repetida ou cobrar uma assinatura, ela fará referência ao token.

O P2PE se aplica especificamente a transações com cartão presente (CP) porque não há um dispositivo físico em uma transação online. Ele pode se aplicar a transações por correio/telefone (MOTO) se a pessoa que receber o pedido inserir os dados do cartão em um dispositivo P2PE baseado em hardware. A tokenização se aplica tanto a pagamentos online quanto presenciais, e a criptografia TLS padrão se aplica a vendas online.

O que a implementação da criptografia ponta a ponta (P2PE) de fato exige?

A implementação de uma solução P2PE validada envolve mais do que a escolha de uma máquina certificada. A solução completa inclui diversos componentes.

Hardware

Somente os dispositivos listados pelo PCI podem fazer parte de uma solução P2PE validada. Esses dispositivos são criados para ter módulos criptográficos seguros que impedem a extração de chaves e detectam adulterações. Se um dispositivo for aberto ou tiver a parte externa violada, as chaves serão apagadas de modo automático.

Gestão de chaves

As chaves de criptografia devem ser injetadas nos dispositivos em uma instalação segura, normalmente pelo fabricante ou por uma instalação certificada de injeção de chaves, antes da implantação. As chaves devem ser rotacionadas em um cronograma definido. Erros cometidos durante a gestão de chaves podem criar vulnerabilidades que comprometem o processo como um todo.

Treinamento de pessoal

A equipe precisa entender o manuseio de dispositivos, incluindo o que fazer se um dispositivo parecer adulterado, como reportar anomalias e por que nunca deve aceitar um dispositivo de substituição de uma fonte não verificada. Os ataques de clonagem física (skimming) que têm o hardware como alvo se tornaram um risco documentado.

Gerenciamento de dispositivos

Os dispositivos exigem atualizações de firmware, inspeção física e controle de inventário. Um dispositivo perdido ou furtado é um possível incidente de segurança, dependendo do estado das chaves. Alguns provedores cuidam do gerenciamento de dispositivos como parte do seu serviço, e outros o deixam a cargo da empresa.

O motivo do uso de uma solução P2PE gerenciada, em que o provedor cuida da injeção de chaves, da certificação do dispositivo e da infraestrutura de descriptografia, resume-se a definir em que operações as empresas desejam concentrar a atenção.

O Stripe Terminal é o exemplo mais claro de uma solução P2PE gerenciada. As máquinas certificadas do Terminal (o BBPOS WisePOS E, a Stripe Reader M2 e outras da linha) criptografam os dados do titular do cartão dentro do dispositivo antes que qualquer coisa saia dele. A Stripe cuida da injeção e da descriptografia de chaves.

Como o Stripe Terminal pode ajudar

O Stripe Terminal permite que as empresas aumentem a receita com pagamentos unificados em canais presenciais e online. Ele oferece suporte a novas formas de pagamento, logística de hardware simplificada, cobertura global e centenas de integrações com POS e plataformas de comércio para criar a pilha de pagamentos ideal.

A Stripe impulsiona o unified commerce para marcas como Hertz, URBN, Lands’ End, Shopify, Lightspeed e Mindbody.

O Stripe Terminal pode ajudar a:

  • Unificar o comércio: gerencie pagamentos online e presenciais em uma plataforma global com dados de pagamento unificados.

  • Expandir globalmente: cresça para 24 países com um único conjunto de integrações e formas de pagamento populares.

  • Integrar à sua maneira: desenvolva seu próprio aplicativo POS personalizado ou conecte-se à pilha tecnológica existente usando integrações externas de POS e comércio.

  • Simplificar a logística de hardware: peça, gerencie e monitore com facilidade as máquinas compatíveis com a Stripe, onde quer que estejam.

Saiba mais sobre o Stripe Terminal ou comece já hoje.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

  • Algo deu errado. Tente novamente ou entre em contato com o suporte.

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Terminal

Terminal

Crie uma experiência de comércio unificada para suas interações online e presenciais com os clientes.

Documentação do Terminal

Use o Stripe Terminal para aceitar pagamentos presenciais e disponibilizar a Stripe nos seus pontos de venda.