Digital & Dados

Cibersegurança No Restaurante: 9 Passos Contra Hackers

A sua caixa, o wifi e os dados dos clientes são um alvo — muitas vezes sem que dê por isso

Os restaurantes há anos que estão entre os alvos mais visados por malware de caixa registadora — não porque os hackers tenham algo contra a restauração, mas porque é fácil.

Cadeias como a Chipotle, a Sonic Drive-In e a Checkers & Rally's foram todas atingidas nos últimos anos por malware instalado nos seus sistemas POS, por vezes meses sem serem detetadas, com milhões de números de cartão roubados como resultado. Segundo o mais recente Data Breach Investigations Report da Verizon, um terceiro — um fornecedor, um parceiro de caixa ou de software — está hoje envolvido em 30% de todas as violações de dados, quase o dobro do ano anterior. E em 22% dos casos, uma palavra-passe roubada ou fraca foi o ponto de partida. Não precisa de ser uma cadeia internacional para se tornar alvo: a maioria dos ataques é automatizada ou passa por um único fornecedor vulnerável que serve dezenas de restaurantes ao mesmo tempo. Este artigo dá-lhe 9 passos concretos, na sua maioria gratuitos ou baratos, para proteger o seu restaurante:

  1. Separe o wifi dos clientes — nunca na mesma rede da sua caixa.
  2. Proteja o seu sistema POS — mantenha-o atualizado e desconfie de qualquer "técnico" não anunciado.
  3. Escolha um fornecedor de pagamentos conforme com o PCI-DSS — e nunca guarde dados de cartão por conta própria.
  4. Use palavras-passe fortes e autenticação em dois fatores — em tudo, não só na caixa.
  5. Reconheça phishing e fraude de faturas — o custo mais subestimado da restauração.
  6. Limite o acesso por função — e revogue-o de imediato quando alguém sai.
  7. Avalie os seus fornecedores — a fragilidade deles torna-se a sua violação de dados.
  8. Faça cópias de segurança e teste o seu plano de recuperação — antes do momento em que a caixa encravar.
  9. Conheça o seu dever de notificação — o RGPD dá-lhe 72 horas, nem mais um dia.

Porque é que a restauração é um alvo tão apetecível

Um restaurante processa diariamente dezenas a centenas de transações com cartão, guarda dados de reservas e contactos de clientes, e trabalha muitas vezes com hardware de caixa desatualizado ou mal mantido, que corre sem alterações durante anos. Junte a isso uma elevada rotatividade de pessoal e conhecimentos limitados de TI, e tem exatamente o perfil que os atacantes procuram: muitos dados valiosos, pouca resistência. Ao contrário de um ataque dirigido a um grande banco, a maior parte do malware de caixa é oportunista — procura automaticamente sistemas vulneráveis, seja o seu estabelecimento com doze ou com cento e vinte mesas.

A boa notícia: a maioria das medidas abaixo não custa dinheiro, apenas dez minutos de atenção. A cibersegurança na restauração raramente é uma questão de contratar um serviço de TI dispendioso — é sobretudo uma questão de fechar as brechas mais óbvias.

9 passos para um restaurante ciberseguro

1. Separe o wifi dos clientes da rede da caixa

O erro mais comum — e mais subestimado — é usar um único router para tudo: a caixa, o computador do escritório com a contabilidade e o wifi que oferece gratuitamente aos clientes. Assim que um cliente (ou alguém a quem foi passada a palavra-passe do wifi de clientes) está nessa rede, pode, no pior cenário, espiar o tráfego que segue em direção à sua caixa.

  • Crie duas redes separadas: uma para clientes, outra para a caixa e o back-office, cada uma com a sua própria palavra-passe. A maioria dos routers de gama média já suporta isto através de um "SSID de convidados" ou de uma VLAN, muitas vezes com uma única definição.
  • Mude a palavra-passe de convidados regularmente, por exemplo todos os meses, para que uma palavra-passe antiga e amplamente partilhada não continue a circular.
  • Ligue o seu sistema de pedidos por QR à rede de clientes, nunca à rede da sua caixa — mesmo que pareça mais prático.

Esta única alteração — duas redes em vez de uma — fecha o caminho mais utilizado por um dispositivo de cliente infetado para alguma vez chegar à sua caixa.

2. Proteja o próprio sistema POS

Ao escolher um sistema POS, normalmente presta atenção às integrações e às taxas por transação — mas é pelo menos igualmente importante saber quão bem protegido está e continuará a estar. Algumas regras práticas:

  • Instale as atualizações de software da sua caixa assim que estejam disponíveis; software de caixa desatualizado é o alvo mais fácil que existe.
  • Use o computador da caixa exclusivamente para a caixa — não para pesquisar algo rapidamente, verificar email ou tocar música.
  • Desconfie de qualquer "técnico" inesperado. O grupo de hackers brasileiro Prilex tornou-se mundialmente conhecido por malware de caixa capaz de clonar até transações com chip e PIN — a infeção começa tipicamente com um telefonema de um alegado técnico que insiste em "atualizar" o software da caixa e pede a instalação de software como o AnyDesk para acesso remoto. Em caso de dúvida, ligue sempre para o número oficial do seu próprio fornecedor, nunca para o número que o interlocutor lhe dá.

3. Escolha um fornecedor de pagamentos conforme com o PCI-DSS

Qualquer entidade que processe pagamentos com cartão tem de cumprir o PCI-DSS, a norma de segurança das redes de cartões. A consequência prática para si: nunca deixe dados de cartão passarem pelos seus próprios sistemas ou serem armazenados neles sem necessidade.

  • Escolha um terminal ou fornecedor de pagamentos que tokenize os dados do cartão — a sua caixa nunca vê o número real do cartão, apenas um código de substituição sem valor.
  • Nunca guarde números de cartão em folhas de cálculo, emails ou notas "para o caso de".
  • Se não estiver em conformidade com o PCI-DSS e mesmo assim ocorrer uma fuga de dados, pode ser responsabilizado por transações fraudulentas — o custo do incumprimento é praticamente sempre superior ao custo de um fornecedor conforme.

Números que fazem a diferença

Porque a rapidez e a higiene básica pesam mais do que um contrato de segurança caro.

Prazo de notificação de uma violação de dados (RGPD)72 horas
Teto da coima numa violação graveaté 4% da faturação anual
Violações de dados globais via terceiros30%
Incidentes iniciados com uma palavra-passe roubada22%

4. Palavras-passe fortes e autenticação em dois fatores, em tudo

Uma única palavra-passe partilhada e antiga ("caixa1234") que todos os colaboradores alguma vez receberam é talvez o maior risco invisível na restauração. Quando dá por isso, dez ex-colaboradores ainda a sabem de cor.

  • Ative a autenticação em dois fatores sempre que possível: na sua conta de caixa, no seu sistema de reservas, no seu Perfil de Empresa do Google e no seu email profissional. Costuma ser gratuito e custa apenas um clique extra ao iniciar sessão.
  • Dê a cada colaborador um login próprio em vez de uma conta partilhada — assim também sabe quem fez o quê se algo correr mal.
  • Use um gestor de palavras-passe para as contas profissionais em vez de reutilizar a mesma palavra-passe em todo o lado.
O guia definitivo O guia definitivo de tecnologia & dados no restaurante Website, IA, analítica e segurança que fazem o seu restaurante avançar. Abrir o guia

5. Reconheça phishing e fraude de faturas

A maioria das invasões não começa com código sofisticado, mas com um email ou telefonema que abusa da confiança. Inclua isto explicitamente na formação da sua equipa:

  • Fraude de faturas: um "fornecedor" envia um email a dizer que o número de conta mudou. Confirme sempre qualquer alteração de dados de pagamento por telefone, usando um número que já conhecia — nunca o número indicado no email.
  • Fraude do CEO: um email urgente "do proprietário" a pedir a compra de cartões-presente ou uma transferência rápida. Combine com a sua equipa que este tipo de pedidos é sempre confirmado oralmente.
  • Emails falsos "do seu fornecedor de caixa" ou "da Google" a pedir que inicie sessão através de um link. Em caso de dúvida, vá sempre diretamente ao website oficial em vez de clicar no link.

6. Limite o acesso por função — e revogue-o de imediato

Nem todos os colaboradores precisam de direitos de administrador na sua caixa, sistema de reservas ou redes sociais. Trabalhe com funções: um empregado de mesa pode criar pedidos, mas não precisa de poder exportar relatórios ou alterar configurações.

  • Atribua direitos de administrador completos apenas ao proprietário e a um número limitado de chefias.
  • Revogue o acesso de imediato assim que alguém sai da empresa — este é o passo mais esquecido de toda esta lista, e um dos mais arriscados. Inclua-o por defeito na sua checklist de saída de colaboradores, junto com o resto da gestão de pessoal da restauração.
  • Verifique pelo menos duas vezes por ano quem ainda tem acesso a quê, e remova o que já não é necessário.

7. Avalie os seus fornecedores: a fragilidade deles torna-se a sua violação de dados

O seu sistema POS, a plataforma de pedidos online e as ferramentas de automatização funcionam muitas vezes sobre software de terceiros. Se essa entidade for atacada, é o seu negócio que fica em risco. Desde outubro de 2024 que a diretiva europeia NIS2 eleva as exigências de segurança para empresas médias e grandes em diversos setores — a generalidade dos restaurantes individuais fica normalmente de fora (o limiar situa-se nos 50 trabalhadores ou 10 milhões de euros de faturação), mas o seu fornecedor de caixa, reservas e pagamentos está muitas vezes mesmo dentro desse âmbito. Por isso, pergunte a cada novo fornecedor:

  • Estão em conformidade com a NIS2 ou a ISO 27001, ou conseguem pelo menos demonstrar como protegem os dados dos clientes?
  • Com que rapidez são os clientes avisados em caso de incidente do lado deles?
  • Onde e por quanto tempo são guardados os nossos dados, e quem tem acesso a eles?

Isto liga-se diretamente ao olhar crítico que já deve ter sobre como trata os dados dos seus clientes ao abrigo do RGPD: a responsabilidade pelos dados dos seus clientes não termina no fornecedor que os guarda tecnicamente.

8. Faça cópias de segurança e teste o seu plano de recuperação

O ransomware raramente faz manchetes na restauração como acontece nos hospitais, mas o efeito é pelo menos igualmente disruptivo: uma caixa que encrava numa sexta-feira à noite movimentada significa perda imediata de faturação e clientes frustrados à porta.

  • Faça cópias de segurança regulares dos dados de reservas, dados de clientes e configurações — automaticamente, não manualmente "quando se lembra".
  • Guarde pelo menos uma cópia de segurança separada da sua rede principal, para que um ransomware que encripte os seus sistemas não leve também a cópia de segurança.
  • Teste pelo menos uma vez por ano se consegue realmente restaurar uma cópia de segurança — uma cópia que nunca restaurou é uma suposição, não uma garantia.

9. Conheça o seu dever de notificação e considere um seguro

Se trata dados pessoais de clientes ou colaboradores — e é o que praticamente todos os restaurantes fazem, desde reservas a processos de pessoal — o RGPD aplica-se integralmente, independentemente da sua dimensão. Numa violação grave de dados:

  • Tem de a comunicar à autoridade de proteção de dados no prazo de 72 horas após a descoberta.
  • Tem de avisar os clientes ou colaboradores afetados se o risco para eles for elevado.
  • As coimas podem chegar a 4% da faturação anual mundial — na prática, os pequenos estabelecimentos de restauração costumam sair-se com muito menos, mas o próprio dever de notificação aplica-se sem exceção.

Um seguro de cibersegurança acessível cobre muitas vezes não só o dano direto, mas também a investigação forense e o apoio jurídico após um incidente — pergunte pela mesma seguradora onde já tem as suas outras apólices. Documente também numa única folha A4 a quem tem de ligar (fornecedor, seguradora, eventual apoio de TI) assim que algo correr mal: a meio da noite não quer andar à procura de um número de telefone.

Erros comuns que comprometem a cibersegurança

  • Deixar a caixa, o escritório e o wifi de clientes a funcionar exatamente na mesma rede.
  • Usar uma única palavra-passe partilhada que nunca muda, mesmo depois de saídas de pessoal.
  • Dar acesso remoto à caixa a um "técnico" não anunciado sem verificar quem é.
  • Anotar ou guardar manualmente dados de cartão de clientes "por precaução".
  • Só revogar o acesso de ex-colaboradores quando, por acaso, alguém repara.
  • Nunca testar se uma cópia de segurança consegue mesmo ser restaurada.

Conclusão: segurança como higiene básica, não como luxo

A cibersegurança na restauração raramente exige um grande investimento. É uma série de pequenos hábitos estruturais: uma rede de convidados separada, autenticação em dois fatores, um olhar crítico sobre qualquer telefonema inesperado e acessos que revoga assim que alguém sai. Comece esta semana pelos passos gratuitos — separar as redes, ativar a autenticação em dois fatores, informar a sua equipa sobre phishing — e planeie o resto para a próxima conversa com os seus fornecedores.

O preço dessas poucas horas de atenção é insignificante comparado com o que custa uma violação de dados em reputação, coimas e na confiança de clientes que esperavam simplesmente que os seus dados estivessem seguros consigo.

Perguntas frequentes

O meu restaurante é pequeno demais para interessar aos hackers?

Não. A maioria dos ataques a sistemas POS é automatizada ou passa pelo fornecedor de software que serve dezenas de restaurantes ao mesmo tempo — a dimensão do seu negócio não pesa nessa equação. Ser pequeno costuma até significar menos apoio de TI e, por isso, um alvo mais fácil, não menos interessante.

Como pequeno estabelecimento, tenho de cumprir a diretiva NIS2?

Na maioria dos casos, não diretamente: a NIS2 aplica-se a empresas médias e grandes (a partir de 50 trabalhadores ou mais de 10 milhões de euros de faturação). A generalidade dos restaurantes individuais fica fora desse limiar. Ainda assim, a NIS2 eleva as exigências de segurança dos seus fornecedores de caixa, reservas e pagamentos, que muitas vezes estão mesmo dentro desse âmbito — e o nível de segurança deles determina, em boa parte, quão seguros estão os seus dados.

O que devo fazer se suspeitar de uma violação de dados?

Desligue o equipamento afetado da rede, avise de imediato o seu fornecedor de caixa ou software e documente tudo o que constatar. Se estiverem em causa dados pessoais de clientes ou colaboradores, tem de o comunicar à autoridade de proteção de dados no prazo de 72 horas. Não espere ter a certeza absoluta — uma comunicação a tempo pesa mais do que uma comunicação perfeita.