APIPreçosDocumentaçãoBlogParceirosContato
Voltar ao blog
Guide

Controle de Ponto Biométrico Sem IP Fixo: Como a API na Nuvem Resolve o Maior Problema das Empresas Brasileiras

Controle de ponto biométrico sem IP fixo é possível com API REST na nuvem. Saiba como o PunchConnect elimina redirecionamento de portas, VPNs e IP fixo para dispositivos ZKTeco, com conformidade LGPD e Portaria 671.

PunchConnect Team·Mar 17, 2026·11 min read

Introduction

A maioria das empresas brasileiras que tenta integrar um relógio biométrico ZKTeco a um ERP na nuvem esbarra no mesmo obstáculo: o software exige um IP fixo. Esse requisito, que parecia razoável quando ERPs rodavam em servidores locais, virou um bloqueio real na era do Odoo Online, ERPNext Cloud e TOTVS na nuvem.

PunchConnect é um middleware cloud REST API que conecta dispositivos biométricos ZKTeco a qualquer sistema de software — sem IP fixo, sem redirecionamento de porta e sem VPN. O dispositivo se conecta à nuvem do PunchConnect de forma autônoma, e você consome os dados via webhook ou API REST. Para quem usa Odoo, ERPNext, sistemas customizados ou qualquer outra plataforma de gestão, a integração passa a funcionar independentemente do provedor de internet.

Este guia explica por que o IP fixo é tão problemático no Brasil especificamente, como a arquitetura de push na nuvem resolve esse problema, e o que você precisa saber sobre LGPD e Portaria 671 para garantir conformidade legal — algo que a maioria dos guias técnicos ignora completamente.

---

Por Que o IP Fixo É um Problema Maior no Brasil do Que em Outros Países

O modelo tradicional de integração biométrica pressupõe que o servidor do ERP "alcança" o relógio de ponto por IP. Isso exige:

- Um IP público fixo no roteador da empresa
- Redirecionamento da porta 4370 (ou outra porta do dispositivo) para o IP interno do relógio
- Regras de firewall permitindo conexões de entrada
- Manutenção manual sempre que o IP mudar

No contexto brasileiro, esse modelo tem problemas específicos que vão além do que se vê em mercados mais desenvolvidos.

Provvedores de banda larga residencial e empresarial usam CGNAT massivamente. O CGNAT (Carrier-Grade NAT) é uma prática em que a operadora compartilha um único IP público entre dezenas ou centenas de clientes. Em 2026, praticamente todas as operadoras brasileiras de médio porte — Vivo, Claro, TIM e regionais como Desktop, Brisanet e Algar — utilizam CGNAT para conexões sem plano IP fixo dedicado. Nessa configuração, o redirecionamento de porta simplesmente não funciona, mesmo que você configure corretamente o roteador.

IP fixo dedicado tem custo proibitivo para pequenas e médias empresas. Enquanto nos EUA um IP fixo é frequentemente incluído em planos empresariais sem custo adicional, no Brasil as operadoras cobram entre R$ 50 e R$ 200/mês por IP fixo dedicado, dependendo da operadora e da região. Para uma empresa com 10 filiais, isso representa entre R$ 6.000 e R$ 24.000 por ano apenas para viabilizar o controle de ponto — antes mesmo de comprar um único software.

Trocas de provedor são comuns. O mercado de telecomunicações brasileiro é fragmentado, com centenas de provedores regionais. Empresas trocam de ISP com frequência por questões de preço, qualidade ou cobertura. Cada troca de provedor implica em um novo IP, o que quebra imediatamente qualquer integração baseada em polling por IP.

Filiais em cidades pequenas não têm acesso a IP fixo. Muitas empresas com operações no interior do Brasil — especialmente no agronegócio, varejo e saúde — dependem de conexões 4G/LTE ou provedores locais que sequer oferecem planos com IP fixo. Para essas empresas, a solução de IP fixo simplesmente não existe.

---

Como a Arquitetura de Push na Nuvem Elimina o Requisito de IP Fixo

A solução é inverter a direção da conexão. Em vez de o servidor ir buscar dados no dispositivo — o que exige conhecer seu IP —, o dispositivo envia os dados para a nuvem, que tem um endpoint estável e conhecido.

É exatamente assim que o PunchConnect funciona. Quando um funcionário registra o ponto no relógio ZKTeco, o dispositivo envia o evento para a nuvem do PunchConnect via conexão HTTPS de saída. O PunchConnect, por sua vez, entrega o evento ao seu sistema via webhook em tempo real.

O fluxo comparado fica assim:

Arquitetura tradicional por polling:

Servidor ERP (precisa saber o IP do dispositivo) → Internet → Roteador (redirecionamento de porta obrigatório) → Relógio na rede local

Arquitetura de push na nuvem (PunchConnect):

Relógio na rede local → HTTPS de saída → Nuvem PunchConnect → Webhook → Sua aplicação

Na arquitetura de push, o dispositivo só precisa de acesso à internet de saída — algo que qualquer conexão moderna já possui, seja fibra, 4G ou cabo. Nenhuma porta precisa ser aberta. Nenhum IP fixo é necessário. A conexão funciona igualmente bem em redes com CGNAT, IPs dinâmicos ou conexões móveis.

---

Configuração Passo a Passo: Ponto Biométrico Sem IP Fixo

Aqui está o processo completo para colocar a integração em funcionamento. Você vai precisar de:

- Um dispositivo ZKTeco compatível com conectividade de rede (a maioria dos modelos fabricados após 2018, incluindo os da Control iD, a operação brasileira da ZKTeco)
- Uma conta PunchConnect — teste grátis por 7 dias, sem cartão de crédito
- Um endpoint na sua aplicação capaz de receber requisições HTTP POST

Passo 1: Registrar o Dispositivo no PunchConnect

Crie sua conta em punchconnect.com e registre o dispositivo via API ou pelo dashboard:

A resposta retorna um device_id que você usará nas chamadas subsequentes.

bash
# Registrar um novo dispositivo via API REST
curl -X POST https://api.punchconnect.com/v1/devices \
  -H "Authorization: Bearer SUA_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "serial_number": "CZKE2234F0039",
    "name": "Entrada Principal - Matriz",
    "location": "São Paulo, SP - Bloco A"
  }'

Passo 2: Configurar o Dispositivo para Conectar ao PunchConnect

Acesse o dashboard do PunchConnect e siga as instruções específicas para o seu modelo de dispositivo. O painel fornece as configurações exatas — o processo leva menos de 5 minutos. Você não precisa conhecer nenhum detalhe de protocolo ou configuração de rede avançada; o dashboard guia todo o processo.

Passo 3: Registrar o Webhook

Configure onde o PunchConnect deve entregar os eventos de marcação:

python
import requests

API_KEY = "sua_api_key_aqui"
BASE_URL = "https://api.punchconnect.com/v1"

# Registrar webhook para receber eventos de ponto em tempo real
response = requests.post(
    f"{BASE_URL}/webhooks",
    headers={"Authorization": f"Bearer {API_KEY}"},
    json={
        "url": "https://seu-erp.com.br/api/ponto/webhook",
        "events": ["attendance.created"],
        "device_serial": "CZKE2234F0039"
    }
)

print(response.json())
# {"id": "wh_abc123", "url": "https://seu-erp.com.br/...", "status": "active"}

Passo 4: Implementar o Endpoint Receptor

Crie o endpoint na sua aplicação que vai receber as marcações. Exemplo em Node.js:

javascript
const express = require('express');
const app = express();
app.use(express.json());

app.post('/api/ponto/webhook', (req, res) => {
  const {
    employee_id,   // ID do funcionário no dispositivo
    timestamp,     // Horário da marcação (ISO 8601 com fuso horário)
    punch_type,    // "check_in" ou "check_out"
    device_serial  // Número de série do relógio
  } = req.body;

  console.log(`Marcação: ${punch_type} - Funcionário ${employee_id} às ${timestamp}`);

  // Sincronizar com seu ERP/HRMS aqui
  sincronizarComERP({
    funcionarioId: employee_id,
    horario: new Date(timestamp),
    tipo: punch_type,
    dispositivo: device_serial
  });

  res.status(200).json({ recebido: true });
});

app.listen(3000, () => console.log('Listener de webhook rodando na porta 3000'));

Passo 5: Consultar Dados Históricos via API REST

Para reconciliação ou preenchimento retroativo de marcações, use o endpoint de consulta:

O payload de um evento de marcação tem este formato:

Note o fuso horário -03:00 (Brasília). Configure sua aplicação para o timezone America/Sao_Paulo para evitar problemas de conversão em períodos de horário de verão.

---

python
import requests

API_KEY = "sua_api_key_aqui"
BASE_URL = "https://api.punchconnect.com/v1"

# Buscar marcações de um dispositivo em um período específico
response = requests.get(
    f"{BASE_URL}/attendance",
    headers={"Authorization": f"Bearer {API_KEY}"},
    params={
        "device_serial": "CZKE2234F0039",
        "from": "2026-03-01T00:00:00-03:00",  # Fuso horário Brasília
        "to": "2026-03-17T23:59:59-03:00",
        "limit": 500
    }
)

registros = response.json()["data"]
print(f"Recuperados {len(registros)} registros de ponto")

for registro in registros:
    print(f"  {registro['employee_id']} - {registro['timestamp']} - {registro['punch_type']}")

LGPD e Portaria 671: O Que Toda Empresa Brasileira Precisa Saber

Esta seção não existe na maioria dos guias técnicos de integração biométrica — e é exatamente onde muitas empresas se expõem. No Brasil, o controle de ponto biométrico está sujeito a duas camadas de regulação que precisam ser consideradas em conjunto.

Portaria 671/2021 e os Tipos de REP

A Portaria 671/2021 do Ministério do Trabalho e Previdência unificou as regras para Registro Eletrônico de Ponto (REP), substituindo as antigas Portarias 1510 e 373. Ela define três categorias:

- REP-C (Convencional): o relógio de ponto físico com Memória de Registro de Ponto (MRP) homologada pelo MTP.
- REP-A (Alternativo): sistemas alternativos permitidos por acordo ou convenção coletiva.
- REP-P (por Programa): sistema de ponto via software, que é onde uma integração via API REST se encaixa quando o software de gestão processa e armazena os registros.

Para uma solução REP-P estar em conformidade, o sistema como um todo precisa: emitir comprovante eletrônico de registro de ponto ao funcionário, permitir a extração do Arquivo Fonte de Dados (AFD) para fiscalização, e ter o software registrado no INPI. Na prática, o PunchConnect atua como middleware de transporte — ele captura a marcação do dispositivo e a entrega ao seu ERP via webhook. O ERP (Odoo, ERPNext, sistema customizado) é responsável por armazenar o registro, emitir comprovantes e gerar o AFD.

A vantagem dessa arquitetura é que o dado chega ao ERP em tempo real, garantindo que os registros no sistema sejam fiéis ao que aconteceu no dispositivo — um requisito central da Portaria 671 para sistemas REP-P.

Cenários Reais: Quando o IP Fixo Falha no Brasil

Para entender por que o controle de ponto sem IP fixo importa, considere estes cenários que são comuns no mercado brasileiro.

Rede de franquias com lojas em cidades do interior. Uma rede de franquias com 40 unidades no Brasil, sendo 15 em cidades do interior de São Paulo e Minas Gerais. Cada loja usa um provedor local de internet — Algar, Desktop, Brisanet ou cooperativas regionais. Metade dessas conexões está sob CGNAT e não oferece IP fixo a custo razoável. Com a arquitetura de push do PunchConnect, cada relógio ZKTeco se conecta à nuvem pela sua própria conexão de saída. O RH na matriz recebe todas as marcações em tempo real, sem gerenciar 40 configurações de rede diferentes.

Empresa de construção com obras em todo o país. Uma construtora com obras em andamento em 8 estados, cada uma com 2 a 5 relógios biométricos conectados por 4G/LTE. Conexões móveis sempre operam com IPs dinâmicos e CGNAT. A solução de polling é simplesmente inviável — os IPs mudam constantemente. Com PunchConnect, cada dispositivo conecta de saída ao cloud e as marcações chegam em tempo real ao sistema de RH, independentemente de onde a obra esteja.

Startup usando Odoo Online que precisa de ponto biométrico. Uma empresa de 80 funcionários usa Odoo Online (cloud hospedado pela própria Odoo). Não há acesso a nenhum servidor local — tudo roda na nuvem da Odoo. Instalar pyzk ou qualquer biblioteca local é impossível. A integração via API na nuvem para Odoo com PunchConnect é a única abordagem viável: o webhook entrega as marcações diretamente ao endpoint da API do Odoo.

---

Comparação: IP Fixo, VPN, DNS Dinâmico e API na Nuvem

Antes da existência de APIs na nuvem, as equipes de TI usavam gambiarras para contornar o problema do IP dinâmico. Aqui está como cada abordagem se comporta no contexto brasileiro.

IP fixo dedicado. Resolve o problema técnico, mas custa entre R$ 50 e R$ 200/mês por localidade — inviável para empresas com múltiplas filiais. Em redes com CGNAT, nem o IP fixo garante que o redirecionamento de porta funcione.

VPN site-to-site. Conecta todas as filiais em uma rede privada virtual. Funciona, mas exige um servidor VPN centralizado, configuração em cada ponto, manutenção contínua e representa um ponto único de falha. Se a VPN cair, todas as marcações param. Para pequenas empresas sem equipe de TI dedicada, VPN é operacionalmente inviável.

DNS Dinâmico (DDNS). Mapeia um hostname para o IP atual do roteador e atualiza automaticamente quando o IP muda. Parcialmente funciona, mas introduz latência por propagação de DNS, depende de um cliente DDNS sempre rodando, e não resolve o problema do CGNAT.

API na nuvem (PunchConnect). Sem túneis, sem DNS tricks, sem redirecionamento de porta. O dispositivo conecta de saída via HTTPS. Sua aplicação recebe webhooks. Ambos os lados usam HTTPS padrão. É a abordagem usada em produção para gerenciar controle de ponto de mais de 24.000 funcionários em múltiplos locais.

O custo é de $200 por dispositivo em licença perpétua, com renovação de $50/dispositivo/ano a partir do segundo ano. Comparado ao custo de IP fixo dedicado em múltiplas filiais, manutenção de VPN e suporte técnico recorrente, o retorno é rápido para qualquer empresa com mais de 3 unidades.

---

Integração com Outros ERPs Brasileiros

O PunchConnect não está restrito a Odoo ou ERPNext. Como a entrega de dados é via webhook e API REST padrão, qualquer sistema que aceite requisições HTTP pode ser integrado.

TOTVS Protheus e RM. O TOTVS é o ERP mais usado no Brasil. Ambas as linhas possuem módulos de ponto (Ponto Secullum, Ahgora integrado), mas a integração via API REST com dispositivos biométricos não é nativa. É possível criar um serviço intermediário em Python ou Node.js que recebe o webhook do PunchConnect e escreve na API do TOTVS. Veja como fazemos isso para ERPNext no nosso guia de integração biométrica para ERPNext — a mesma lógica se aplica.

Sistemas customizados em PHP/Laravel. Muitas empresas brasileiras de médio porte usam sistemas de RH desenvolvidos internamente em PHP. O webhook do PunchConnect é um POST HTTP padrão com payload JSON — trivial de receber em qualquer framework web.

Angola e Moçambique. Para empresas lusófonas fora do Brasil, o contexto legal é diferente (sem LGPD ou Portaria 671), mas o desafio técnico do IP dinâmico é igual ou pior. A infraestrutura de telecomunicações em Angola e Moçambique ainda está em desenvolvimento, e IPs fixos são escassos e caros. A arquitetura de push do PunchConnect funciona igualmente bem nesses mercados, incluindo em conexões 3G/LTE de baixa latência. Para alternativas a soluções legadas nesse contexto, veja nossa análise de alternativas ao CAMS Biometrics.

---

Perguntas Frequentes

É possível usar controle de ponto biométrico sem IP fixo no Brasil com ZKTeco?

Sim. O PunchConnect usa uma arquitetura de push na nuvem onde o dispositivo ZKTeco inicia uma conexão de saída para a nuvem do PunchConnect. O dispositivo precisa apenas de acesso à internet — sem IP fixo, sem redirecionamento de porta e sem VPN. Funciona com qualquer provedor de internet, incluindo conexões com CGNAT, IPs dinâmicos e 4G/LTE.

O PunchConnect está em conformidade com a Portaria 671 para REP-P?

O PunchConnect atua como middleware de transporte entre o dispositivo e o ERP. A conformidade com a Portaria 671 como REP-P depende do sistema completo — dispositivo + middleware + software de gestão. O ERP integrado (Odoo, ERPNext, sistema customizado) precisa ser capaz de emitir comprovante eletrônico, gerar o AFD e ter o software registrado no INPI. Recomendamos consultar um advogado trabalhista para validar sua implementação específica.

Como o PunchConnect trata os dados biométricos para fins da LGPD?

O PunchConnect transmite registros de marcação (ID do funcionário, horário, tipo de evento) via HTTPS/TLS. Os templates biométricos — impressões digitais — ficam armazenados exclusivamente no dispositivo e nunca são enviados para a nuvem. O que trafega é apenas o evento de presença, não os dados biométricos em si. Ainda assim, o tratamento de dados de controle de jornada deve estar amparado por base legal e coberto na política de privacidade da empresa.

O que acontece se o relógio perder a conexão com a internet temporariamente?

Os dispositivos ZKTeco armazenam marcações localmente na memória interna — tipicamente entre 50.000 e 100.000 registros, dependendo do modelo. Quando a conectividade é restaurada, o dispositivo sincroniza automaticamente todos os eventos armazenados com a nuvem do PunchConnect. Nenhum dado é perdido durante quedas de conexão.

Funciona com dispositivos Control iD (operação brasileira da ZKTeco)?

Sim. A Control iD é a operação brasileira da ZKTeco e seus dispositivos — iDFlex, iDFace, iDAccess, entre outros — utilizam a mesma base tecnológica. Modelos homologados pelo INMETRO para uso como REP no Brasil são compatíveis com o PunchConnect. Consulte a documentação para confirmar a compatibilidade do seu modelo específico.

---

Próximos Passos

Pare de depender de IP fixo, VPN e redirecionamento de porta para fazer o controle de ponto funcionar. O PunchConnect entrega dados biométricos em tempo real via REST API e webhook — sem nenhum requisito de rede especial, com segurança de dados conforme LGPD e compatível com os ERPs mais usados no Brasil.

Comece o teste grátis de 7 dias — sem cartão de crédito. Registre seu primeiro dispositivo em menos de 5 minutos e receba sua primeira marcação via webhook em segundos.

Consulte a documentação completa da API para referência completa de endpoints e exemplos de código em Python, JavaScript e cURL. Para uma visão geral da arquitetura, veja o guia da API. Tem dúvidas sobre a implementação no contexto brasileiro? Entre em contato — respondemos em português.

Artigos relacionados

Tutorial

Configurando Webhooks Sem IP Fixo

8 min de leitura

Tutorial

Protocolo Push da ZKTeco Explicado

10 min de leitura

Engineering

Por Que Bibliotecas Open-Source para ZKTeco Não Escalam

6 min de leitura

Controle de Ponto Biométrico Sem IP Fixo: Como a API na Nuvem Resolve o Maior Problema das Empresas Brasileiras | PunchConnect