FAQ

90% manuale, 10% automatizzato. Gli scanner trovano ciò che è documentato; i nostri pentester trovano ciò che gli attaccanti stanno sfruttando ora. Logica di business, concatenamento di vulnerabilità e abuso di autorizzazione — lo scanner non lo vede.

Esterno, Interno, Web/API, Mobile, OT/SCADA, Wi-Fi, Ingegneria Sociale (phishing/spear), Red Team completo e PTaaS ricorrente. Vedi /precos per prezzi e scope dettagliati.

Sì. Operiamo in Brasile, Portogallo, Italia, Spagna, Marocco, Stati Uniti e Australia. Engagement in USD, BRL o EUR.

Esterno semplice: 1 settimana. Web app: 2-4 settimane. Red Team completo: 6-12 settimane. PTaaS: continuo. Ogni proposta include una tempistica specifica.

1) Compili preventivo o pianifichi un meeting. 2) Entro 48h inviamo proposta con scope, tempistiche e prezzo. 3) Firma di NDA + Lettera di Autorizzazione. 4) Esecuzione. 5) Consegna di report esecutivo + tecnico. 6) Retest opzionale.

Entrambi. Esecutivo (3-5 pagine) con livello di rischio e impatto di business per C-level e board. Tecnico (50-150 pagine) con PoC riproducibile, mitigazione e mappatura alla regolamentazione applicabile.

Sì. I nostri report sono accettati da audit SOC 2 Type II (CC trust services), ISO 27001 (controllo A.12.6), PCI-DSS 4.0 (req. 11.4) ed equivalenti. Mappiamo i finding direttamente sui requisiti del framework.

No in condizioni normali. Lavoriamo in ambiente di omologazione specchio o finestre controllate. Per sistemi critici (SCADA, ospedale, banca core), validiamo ogni step prima di eseguire. Red flag concordate in anticipo garantiscono stop immediato se necessario.

NDA reciproco obbligatorio, comunicazione tramite canale cifrato (Signal/Element), consegna via portale dedicato, retention zero dopo 90 giorni dal report finale con certificato di distruzione. Vedi /legal/privacy.

Solo con tua autorizzazione espressa e scritta. La riservatezza è lo standard. Quando autorizzato, possiamo elencare logo + descrizione generica.

Sì, in Red Team completo. Solo lo sponsor (di solito CISO/CSO) sa dell'operazione; il team di sicurezza opera al buio come in un attacco reale. Misura tempo di rilevamento, risposta e contenimento.

Brasile: PIX, boleto, bonifico. Internazionale: SWIFT, USDC/USDT/BTC tramite exchange regolamentato (con KYC). Fatturazione in BRL, USD o EUR per giurisdizione.

Sì per progetti oltre R$ 20.000 (o equivalente). Fino a 6 rate senza interessi previa analisi.

No. Cancellazione con preavviso di 30 giorni. Rinnovo automatico in assenza di disdetta — vogliamo che tu rimanga per il valore consegnato, non per contratto.

Sì. Azienda abilitata per gare pubbliche, CADIN pulito, certificazioni in regola. Serviamo enti federali, statali e comunali brasiliani.

Pentester senior con OSCP, CISSP, CRTO, GPEN e CompTIA PenTest+ in media. Ogni engagement ha almeno 1 lead e 1 esecutore, con peer review prima della consegna.

Sì. Operiamo Cobalt Strike, Mythic, Sliver con payload custom, OPSEC adeguato e catena TTP mappata in MITRE ATT&CK. Non usiamo strumenti commodity per Red Team seri.

Founder e CEO di intrus.io. 15+ anni in offensive security, con engagement presso Caixa Econômica Federal, Banco BMG, iFood, Polizia Federale, ArcelorMittal, Multibanco, Formula 1 e altri clienti regolamentati.