Pentest HIPAA: Security Rule, Breach Notification
Pentest HIPAA Security Rule (Administrative, Physical, Technical Safeguards) + Breach Notification. Para Business Associate (BA) servindo US healthcare.
Perché ora
Il dolore reale
Healthtech brasileira vendendo para US healthcare é Business Associate (BA) sob HIPAA. BAA assinada, OCR audit ativo, multa de até US$ 1.9M/violação. Pentest HIPAA é parte essencial do BAA — sem ele, cliente cancela contrato.
Norma e riferimento
/superficie-di-attacco
HIPAA (US)
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
Technical Safeguards (§164.312)
Access control, audit controls, integrity, transmission security.
Administrative Safeguards (§164.308)
Risk analysis, workforce training, contingency, incident procedures.
Physical Safeguards (§164.310)
Facility access, workstation security, device controls.
ePHI handling
Criptografia em repouso e trânsito, segregação de PHI, minimização.
Breach Notification (§164.404-408)
Runbook de detecção, análise de breach, notificação OCR + indivíduos.
Business Associate Agreement
Validação técnica das obrigações do BAA, due diligence de sub-BA.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
Healthtech brasileira com clientes US, sob BAA com hospitais/payers/PBM americanos.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programma di integrità
dei candidati pentester non supera il nostro Crivo
Sai chi avrà accesso al tuo ambiente?
L'NDA vale in tribunale. Non vale nel quotidiano. Prima del primo accesso, ogni nostro pentester passa background, profilo psicometrico e test di integrità.
- Verifica criminale, fiscale e professionale approfondita
- Valutazione psicometrica e profilo di rischio
- Test di integrità pratico con scenari controllati
- Team fisso — non rotativo, niente "sconosciuto a ogni ingaggio"
/faq
FAQ — HIPAA (US)
Vocês entendem OCR audit protocol?
Sim. Conhecemos os 169 control areas e mapeamos pentest para os controles avaliados em audit.
Faixa de preço?
Healthtech pequena com ePHI: R$ 40-80k. Plataforma multi-tenant servindo payers: R$ 80-200k.
/contatti
Cotar pentest HIPAA
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.