intrus.io
This sector deep-dive is currently available in Portuguese only. Full English translation is in progress.
Ver em Português →
/servicos · Pentest PDV e TEF

Pentest de PDV, TEF e Pinpad

Auditoria de frente de caixa, TEF, pinpad, integração com adquirente. Manipulação de preço, cancelamento, captura de cartão, tampering.

Cotar pentest PDV/TEFSee vectors
90% manual · 10% automated
OSCP · CISSP · CRTO · GPEN
BR · PT · IT · ES · MA · US · AU
OWASP · MITRE · PTES · NIST

Why now

The real pain

PDV processa cartão sem parar. Pinpad é alvo de skimmer físico e tampering remoto. Software de PDV legado roda em Windows 7 com vulnerabilidade pública. E o fraude interna no operador de caixa custa milhões/ano no varejo.

Applicable frameworks

PCI-DSS 4.0 (req 9 físico + 11 testing)PCI PIN SecurityEMVCoINMETRO Portaria 157/2022 (balança integrada)

/attack-surface

Pentest PDV e TEF

Every engagement is designed for your environment. The points below are part of our standard playbook for this sector — final scope is adapted to your stack and contract.

01

Software de PDV

Manipulação de preço, fraude em cancelamento, race condition em desconto, override sem auth.

02

Pinpad e tampering

Tampering físico (skimmer), firmware modificado, comunicação USB/serial, downgrade de criptografia.

03

TEF (Transferência Eletrônica de Fundos)

Captura de PAN, manipulação de valor, integridade do log fiscal.

04

Integração com adquirente

Autorização, captura, conciliação, estorno indevido.

05

Frente de caixa e operador

Fraude interna, override de gerente, abuse de promoção, integridade do cupom fiscal.

/methodology

Genuinely manual pentest

Automated scanners find what's documented. Real attackers find what isn't. 90% of the work is manual — performed by specialists holding OSCP, CISSP, CRTO and GPEN.

01 · Reconnaissance

Target mapping, OSINT, footprint, sector-specific threat modeling.

02 · Discovery

Deep enumeration, complementary scanning, manual exposure identification.

03 · Exploitation

Manual validation with controlled PoC, finding chaining, escalation.

04 · Report

Executive + technical, step-by-step replication, mapped to applicable regulation.

/why-trust

Who has trusted our work

Pentest em rede de varejo alimentar, drogarias e franquias de fast food.

Caixa Econômica Federal
Banco BMG
iFood
ArcelorMittal
Multibanco
Polícia Federal
Fórmula 1
OpenFinance

Technical assessment recognized in highly regulated, mission-critical environments — the pentest that finds what nobody had found before.

DL

Douglas Lopes

Founder · CEO · intrus.io

/faq

FAQ — Pentest PDV e TEF

Vocês usam pinpad real?

Sim, com pinpad fornecido pelo cliente em ambiente isolado. Não tocamos PAN de cliente real — usamos cartão de teste.

Faixa de preço?

Rede pequena (até 10 lojas): R$ 20-45k. Rede média (50-200): R$ 60-140k amostral. Grande rede: R$ 100-250k.

/contact

Cotar pentest PDV/TEF

Schedule a confidential meeting. Within 48h we'll send a proposal with scope, timeline and pricing.

Talk to usSee other sectors

Other sectors we cover

/pentest-mobile

Pentest Mobile

/pentest-api

Pentest de API

/red-team

Red Team

/pentest-cloud-aws

Pentest AWS

/pentest-cloud-gcp

Pentest Google Cloud

/pentest-cloud-azure

Pentest Microsoft Azure