This sector deep-dive is currently available in Portuguese only. Full English translation is in progress.

/momentos · Pentest Contínuo · Retainer

Pentest Contínuo (Retainer): Para Quem Releasa Toda Semana

Retainer mensal de horas dedicadas — pentest after-action a cada release significativo, threat hunting de novo CVE, retest, acompanhamento de feature.

Conversar sobre retainer See vectors

90% manual · 10% automated

OSCP · CISSP · CRTO · GPEN

BR · PT · IT · ES · MA · US · AU

OWASP · MITRE · PTES · NIST

Why now

The real pain

Produto SaaS releasa toda semana. Pentest anual cobre o estado da empresa em janeiro — e em julho a superfície é outra. Retainer mensal cobre o ciclo real do produto. Pra empresa que tem maturidade e produto vivo, ROI maior que pentest pontual.

Context and regulation

ISO 27001 A.8.29 (security testing contínuo)PCI-DSS 4.0 (mudança significativa)SOC 2 CC4.1 (monitoring)

/attack-surface

Pentest Contínuo · Retainer

Every engagement is designed for your environment. The points below are part of our standard playbook for this sector — final scope is adapted to your stack and contract.

After-action por release

Cada release significativo dispara janela de pentest focada na superfície nova/alterada.

Threat hunting de CVE relevante

Novo CVE público crítico (Log4Shell, ProxyLogon, MOVEit) — validação imediata se a empresa está vulnerável.

Retest contínuo de findings

Findings antigos retestados a cada 30-60 dias sem custo adicional.

Acompanhamento de feature flag

Feature flag nova ativada — pentester de plantão revisa antes de full rollout.

Banco de horas flexível

Horas residuais transferíveis pra próximos meses (não "use ou perca").

Single point of contact

Pentester sênior dedicado, conhecimento acumulado do ambiente, sem ramp-up a cada engajamento.

/methodology

Genuinely manual pentest

Automated scanners find what's documented. Real attackers find what isn't. 90% of the work is manual — performed by specialists holding OSCP, CISSP, CRTO and GPEN.

01 · Reconnaissance

Target mapping, OSINT, footprint, sector-specific threat modeling.

02 · Discovery

Deep enumeration, complementary scanning, manual exposure identification.

03 · Exploitation

Manual validation with controlled PoC, finding chaining, escalation.

04 · Report

Executive + technical, step-by-step replication, mapped to applicable regulation.

/why-trust

Who has trusted our work

SaaS B2B com cadência semanal/quinzenal de release, fintechs reguladas com mudança de produto frequente.

Caixa Econômica Federal

Banco BMG

iFood

ArcelorMittal

Multibanco

Polícia Federal

Fórmula 1

OpenFinance

Technical assessment recognized in highly regulated, mission-critical environments — the pentest that finds what nobody had found before.

Douglas Lopes

Founder · CEO · intrus.io

/faq

FAQ — Pentest Contínuo · Retainer

Quantas horas no retainer típico?

Pacotes: 20h/mês (R$ 6-8k), 40h/mês (R$ 12-16k), 80h/mês (R$ 22-30k). Horas extras a R$ 280-380/h conforme volume.

Posso cancelar a qualquer momento?

Sim. Contrato com renovação mensal automática, cancelamento com aviso de 30 dias.

Funciona pra empresa pequena?

Funciona, mas tipicamente faz sentido a partir de equipe técnica com 8-15 pessoas + release frequente. Abaixo disso, pentest anual + retest costuma ser mais eficiente.

/contact

Conversar sobre retainer

Schedule a confidential meeting. Within 48h we'll send a proposal with scope, timeline and pricing.

Talk to us See other sectors

Other sectors we cover

/pre-ipo

Pré-IPO

/due-diligence-ma

Due Diligence M&A

/pentest-startup-early-stage

Startup Early-Stage

/pos-incidente

Pós-Incidente

/pre-lancamento-produto

Pré-Lançamento

/pentest-anual-obrigatorio