Pentest BACEN: Res. 4.893/2021 e CMN 4.658
Pentest aderente à Resolução BACEN 4.893/2021 (cibersegurança) e CMN 4.658 (terceirização). Aceito em fiscalização BACEN e relatório DICOI.
Why now
The real pain
Instituição financeira regulada pelo BACEN não tem opção: Res. 4.893 exige programa de cibersegurança formal, com pentest periódico, gestão de fornecedor crítico e plano de continuidade. Fiscalização DICOI valida tudo. Sem pentest sério, vira RAS-3 (recomendação de ajuste sério).
Standard and reference
/attack-surface
BACEN Res. 4.893
Every engagement is designed for your environment. The points below are part of our standard playbook for this sector — final scope is adapted to your stack and contract.
Internet banking (PF e PJ)
Transferência, OTP, biometria, fraude em assinatura digital, certificado A1/A3.
Core bancário e mainframe
Integração z/OS, segregação por agência/papel, batch financeiro.
App mobile e wallet
Reverse engineering, certificate pinning, biometria, MASVS L2.
Cartões e adquirência
Tokenização, EMV, autorização, estorno, fraude transacional.
Fornecedor crítico (CMN 4.658)
Cyber due diligence em provider de processing, cloud, BPO.
Backoffice e BPO
Acesso interno, fraude por colaborador, dupla custódia.
/methodology
Genuinely manual pentest
Automated scanners find what's documented. Real attackers find what isn't. 90% of the work is manual — performed by specialists holding OSCP, CISSP, CRTO and GPEN.
01 · Reconnaissance
Target mapping, OSINT, footprint, sector-specific threat modeling.
02 · Discovery
Deep enumeration, complementary scanning, manual exposure identification.
03 · Exploitation
Manual validation with controlled PoC, finding chaining, escalation.
04 · Report
Executive + technical, step-by-step replication, mapped to applicable regulation.
/why-trust
Who has trusted our work
Caixa Econômica Federal — reconhecido como melhor pentest técnico em avaliação competitiva. Banco BMG.
Technical assessment recognized in highly regulated, mission-critical environments — the pentest that finds what nobody had found before.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · integrity program
of pentester candidates fail our Crivo screening
Do you know who's getting access to your environment?
NDAs work in court. They don't work day-to-day. Before first access, every pentester on our team passes background, psychometric profile and integrity testing.
- In-depth criminal, fiscal and professional verification
- Psychometric assessment and risk profile
- Practical integrity testing with controlled scenarios
- Fixed team — non-rotating, no 'stranger every engagement'
/faq
FAQ — BACEN Res. 4.893
Vocês entregam relatório aceito em fiscalização BACEN?
Sim. Formato técnico + executivo, mapeamento por seção da Res. 4.893, evidência objetiva de teste manual.
Cobrem CMN 4.658 (terceirização)?
Sim. Realizamos cyber due diligence de fornecedor crítico, com output em formato que vai pro Anexo I do contrato.
/contact
Falar com nosso CEO
Schedule a confidential meeting. Within 48h we'll send a proposal with scope, timeline and pricing.