Pentest HIPAA: Security Rule, Breach Notification
Pentest HIPAA Security Rule (Administrative, Physical, Technical Safeguards) + Breach Notification. Para Business Associate (BA) servindo US healthcare.
Por qué ahora
El dolor real
Healthtech brasileira vendendo para US healthcare é Business Associate (BA) sob HIPAA. BAA assinada, OCR audit ativo, multa de até US$ 1.9M/violação. Pentest HIPAA é parte essencial do BAA — sem ele, cliente cancela contrato.
Norma y referencia
/superficie-de-ataque
HIPAA (US)
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
Technical Safeguards (§164.312)
Access control, audit controls, integrity, transmission security.
Administrative Safeguards (§164.308)
Risk analysis, workforce training, contingency, incident procedures.
Physical Safeguards (§164.310)
Facility access, workstation security, device controls.
ePHI handling
Criptografia em repouso e trânsito, segregação de PHI, minimização.
Breach Notification (§164.404-408)
Runbook de detecção, análise de breach, notificação OCR + indivíduos.
Business Associate Agreement
Validação técnica das obrigações do BAA, due diligence de sub-BA.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Healthtech brasileira com clientes US, sob BAA com hospitais/payers/PBM americanos.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridad
de los candidatos a pentester reprueban nuestro Crivo
¿Sabes quién va a tener acceso a tu ambiente?
El NDA vale en el tribunal. No vale en el día a día. Antes del primer acceso, todo pentester nuestro pasa por background, perfil psicométrico y prueba de integridad.
- Verificación criminal, fiscal y profesional profunda
- Evaluación psicométrica y perfil de riesgo
- Prueba de integridad práctica con escenarios controlados
- Equipo fijo — no rotativo, sin 'desconocido en cada engagement'
/faq
FAQ — HIPAA (US)
Vocês entendem OCR audit protocol?
Sim. Conhecemos os 169 control areas e mapeamos pentest para os controles avaliados em audit.
Faixa de preço?
Healthtech pequena com ePHI: R$ 40-80k. Plataforma multi-tenant servindo payers: R$ 80-200k.
/contacto
Cotar pentest HIPAA
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.