Pentest ANS: RN 305/2012 e Normas Suplementares
Pentest para operadora de saúde suplementar (planos, seguradoras saúde) sob fiscalização ANS — RN 305, TISS, RN 506, programa de qualificação.
Why now
The real pain
Operadora ANS-regulada trata dado ultrassensível de milhões de beneficiários (CID, exame, histórico). Vazamento dispara LGPD + ANS + ação coletiva. RN 305 exige programa de segurança da informação. Sem pentest sério, sanção administrativa garantida.
Standard and reference
/attack-surface
ANS (Saúde Suplementar)
Every engagement is designed for your environment. The points below are part of our standard playbook for this sector — final scope is adapted to your stack and contract.
Portal do beneficiário
IDOR em carteirinha, autorização, segunda via, biometria de cadastro.
App mobile do beneficiário
Análise estática/dinâmica, certificate pinning, MASVS L2.
Padrão TISS (XML/REST)
Validação de guia, assinatura digital, integração prestador-operadora.
Portal do prestador credenciado
Acesso indevido, segregação por prestador, abuse de autorização.
Telemedicina interna
Privacidade da consulta vídeo, prontuário, prescrição.
BPO e regulação interna
Acesso de operador interno e BPO, fraude por colaborador.
/methodology
Genuinely manual pentest
Automated scanners find what's documented. Real attackers find what isn't. 90% of the work is manual — performed by specialists holding OSCP, CISSP, CRTO and GPEN.
01 · Reconnaissance
Target mapping, OSINT, footprint, sector-specific threat modeling.
02 · Discovery
Deep enumeration, complementary scanning, manual exposure identification.
03 · Exploitation
Manual validation with controlled PoC, finding chaining, escalation.
04 · Report
Executive + technical, step-by-step replication, mapped to applicable regulation.
/why-trust
Who has trusted our work
Pentest em operadora regional, healthtech ANS-regulada e plataforma de telemedicina conveniada.
Technical assessment recognized in highly regulated, mission-critical environments — the pentest that finds what nobody had found before.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · integrity program
of pentester candidates fail our Crivo screening
Do you know who's getting access to your environment?
NDAs work in court. They don't work day-to-day. Before first access, every pentester on our team passes background, psychometric profile and integrity testing.
- In-depth criminal, fiscal and professional verification
- Psychometric assessment and risk profile
- Practical integrity testing with controlled scenarios
- Fixed team — non-rotating, no 'stranger every engagement'
/faq
FAQ — ANS (Saúde Suplementar)
Cobrem TISS completo?
Sim. Auditamos guias, assinatura digital, criptografia, integração prestador-operadora e validação de retorno.
Faixa de preço?
Operadora pequena (regional): R$ 35-80k. Operadora média: R$ 80-180k. Grande operadora multi-produto: R$ 150-350k.
/contact
Cotar pentest ANS
Schedule a confidential meeting. Within 48h we'll send a proposal with scope, timeline and pricing.