Como QSA, uma das perguntas mais recorrentes que ouvimos dos comerciantes é: "O meu terminal de pagamento tem uma certificação PCI PTS expirada. Posso continuar a usá-lo?". A resposta curta é "depende", mas a resposta longa e honesta é "você não deveria, e eis o porquê". 

Muitos comerciantes acreditam que, se o PCI DSS não proíbe explicitamente o uso de um terminal expirado, estão seguros. Esta é uma suposição perigosa que pode custar caro. A verdade é que a conformidade no mundo dos pagamentos é uma teia complexa tecida não apenas pelo PCI SSC, mas também pelos fabricantes de hardware, pelas bandeiras de cartão (como Visa e Mastercard) e pelo seu banco adquirente. 

Ignorar a data de expiração do seu terminal não é apenas uma má prática de segurança; é uma decisão de negócio que o expõe a riscos financeiros, contratuais e de reputação significativos. Vamos desmistificar este tema e mostrar-lhe como proteger o seu negócio. 

Desvendando o "Triângulo das Bermudas" dos Prazos: Expiração, EOL e Sunset 

Para navegar neste terreno, é crucial entender três termos que muitas vezes são confundidos: 

1. Data de Expiração (Definida pelo PCI SSC): Esta é a data em que o modelo do seu terminal deixa de ser aprovado pelo PCI Council para novas implementações. O Council está basicamente a dizer: "Este hardware já não cumpre os nossos mais recentes padrões de segurança contra-ataques modernos". 
2. Fim de Vida (EOL - End-of-Life, definido pelo Fabricante): Esta é uma decisão comercial do fabricante (p.ex., Gertec, Ingenico, PAX). Eles anunciam que vão parar de produzir e, mais importante, de fornecer atualizações de segurança e suporte para aquele modelo. A partir deste ponto, qualquer nova vulnerabilidade descoberta ficará por corrigir. 
3. Data de Sunset (Definida pelas Bandeiras de Cartão): Esta é a data final. É o prazo imposto pela Visa, Mastercard ou pelo seu adquirente para que aquele terminal seja removido do mercado. É o "game over" para o seu dispositivo. 

Pense nisto como uma reação em cadeia: a expiração do PCI SSC aciona o anúncio de EOL do fabricante, o que, por sua vez, leva as bandeiras a definirem uma data de sunset para limitar a sua própria exposição ao risco. O comerciante fica no final desta cadeia, enfrentando as consequências. 

A Desculpa Acabou: A Dura Realidade da Auditoria no PCI DSS v4.0 

Se a sua justificação para usar um terminal antigo era "mas o PCI DSS não proíbe...", essa desculpa expirou. Desde 31 de março de 2025, o PCI DSS v4.0 é totalmente obrigatório, e com ele, a conversa sobre terminais expirados mudou drasticamente. 

A discussão já não é sobre uma análise de risco subjetiva. Agora, a falha é direta e objetiva, graças ao Requisito 12.3.4. Este requisito exige que a sua organização mantenha uma lista de todas as tecnologias sem suporte do fabricante (EOL/EOS) e, crucialmente, que tenha um plano documentado para as substituir. 

Na prática, isto significa que, numa auditoria hoje, um QSA irá verificar diretamente: 

1. O seu inventário de terminais inclui o status de EOL do fabricante? 
2. Este modelo de terminal está na lista de EOL do fabricante? 
3. Se sim, pode apresentar um plano de remediação documentado, com prazos e orçamento, para a sua substituição? 

Uma resposta "não" a qualquer uma destas perguntas resulta numa falha de conformidade direta. Já não há espaço para interpretação. O uso de um terminal que o fabricante declarou como EOL, sem um plano de remediação ativo, é uma não conformidade clara e resultará num relatório de auditoria (ROC ou SAQ) reprovado. A era da gestão de risco como justificação para o uso de hardware obsoleto terminou. 

Os Verdadeiros Xerifes: Bandeiras de Cartão e Adquirentes 

O PCI SSC cria os padrões, mas não tem poder para aplicar multas. Esse poder pertence às bandeiras de cartão e aos adquirentes. A sua relação comercial não é com o PCI SSC, mas sim com o seu banco, e é o contrato de comerciante que dita as regras. 

Esse contrato obriga-o a seguir as regras das bandeiras. Quando usa um terminal expirado contra a política do seu adquirente, está a violar o seu contrato. É essa violação que lhes dá o direito de o penalizar. 

Como Mitigar o Risco: Um Plano de Ação Proativo 

A inação não é uma opção. A gestão do ciclo de vida dos seus terminais deve ser um processo de negócio contínuo. 

1. Faça um Inventário Detalhado: Vá além do Requisito 9.5. O seu inventário de terminais deve incluir: modelo, número de série, localização, data de expiração do PTS e data de fim de suporte (EOL) do fabricante. 
2. Planeje e Orçamente a Substituição: A troca de terminais não deve ser uma despesa de emergência. Trate-a como uma despesa de capital recorrente e previsível. 
3. Considere P2PE (mas não como uma cura milagrosa): Soluções de Criptografia Ponto a Ponto (P2PE) validadas pelo PCI SSC são uma excelente forma de reduzir o risco e o escopo do PCI DSS. O PCI SSC oferece um "período de carência" de 5 anos para usar um terminal expirado dentro de uma solução P2PE. No entanto, esta é uma medida temporária para facilitar a migração, não para a evitar. 
4. Comunique-se: Fale abertamente com o seu adquirente e com os seus fornecedores. Perceba os seus roteiros de produtos e os seus prazos. A transparência pode evitar surpresas desagradáveis. 

De Problema de TI a Estratégia de Negócio 

Manter os seus terminais de pagamento atualizados não é um mero exercício de conformidade ou uma tarefa de TI. É um imperativo de negócio fundamental. Um terminal expirado é uma porta aberta a vulnerabilidades de segurança, perdas financeiras por fraude, multas contratuais e disputas com seguradoras. 

A gestão proativa do ciclo de vida dos seus terminais protege os seus clientes, a sua reputação e, em última análise, a sua rentabilidade. Não espere pela "data de sunset". Reveja hoje o seu inventário e crie um plano. O seu negócio depende disso. 

 
Precisa de ajuda para avaliar e atualizar seus terminais de pagamento? 

Como QSA, oferecemos suporte completo em todo o processo de conformidade com o PCI DSS — da análise inicial à certificação. 
Fale com a AuditSafe e transforme a segurança dos seus meios de pagamento em uma vantagem competitiva: https://www.auditsafe.com.br/contact