Pentest Pre-IPO: S-1, B3, NYSE, Nasdaq
Pentest esaustivo per azienda in fase pre-quotazione. Alimenta il capitolo di cybersecurity risk del prospetto. SEC SK 1.05, B3 IAN, NYSE/Nasdaq cyber disclosure.
Perché ora
Il dolore reale
La banca coordinatrice, lo studio IPO e l'auditor PCAOB aprono il pacchetto di rischio cyber al mese 4 del roadshow. Azienda senza pentest seriale negli ultimi 24 mesi diventa rilievo nel prospetto e trigger di sconto sul pricing. SEC richiede disclosure di incidente in 4 giorni lavorativi (SK 1.05).
Contesto e regolamentazione
/superficie-di-attacco
Pré-IPO
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
Pentest esaustivo della superficie
Tutte le superfici critiche — web, API, mobile, cloud, AD, infrastruttura.
Red Team mappato su ATT&CK
Simulazione avversariale con obiettivo: "compromettere sistema materiale per la tesi di investimento".
Audit di third-party risk
Fornitori critici, SaaS, servizi esternalizzati — cyber due diligence inversa.
Capitolo di cyber risk
Supporto alla redazione del capitolo di cybersecurity risk nel prospetto, allineato con SK 1.05.
Tabletop di incident response con C-level
Validazione del runbook 4-day disclosure SEC, BACEN, ANPD.
Evidenza oggettiva per PCAOB
Report tecnico + piano di remediation + retest documentato, accettato da auditor indipendente.
Post-quotazione: pentest continuo
Cadenza mensile di retainer per mantenere disclosure compliance post-IPO.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
Ingaggi con aziende brasiliane in fase di quotazione B3 e NYSE. Team ha già operato cyber due diligence pre-IPO in fintech e healthtech.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programma di integrità
dei candidati pentester non supera il nostro Crivo
Sai chi avrà accesso al tuo ambiente?
L'NDA vale in tribunale. Non vale nel quotidiano. Prima del primo accesso, ogni nostro pentester passa background, profilo psicometrico e test di integrità.
- Verifica criminale, fiscale e professionale approfondita
- Valutazione psicometrica e profilo di rischio
- Test di integrità pratico con scenari controllati
- Team fisso — non rotativo, niente "sconosciuto a ogni ingaggio"
/faq
FAQ — Pré-IPO
Quando inizia il pentest pre-IPO?
Idealmente 6-12 mesi prima del roadshow. In finestra più breve (3-6 mesi) è possibile ma lo scope deve essere prioritizzato.
La SEC richiede davvero disclosure in 4 giorni?
Sì, SK 1.05 (in vigore da dic 2023). Aziende quotate su NYSE/Nasdaq hanno 4 giorni lavorativi dopo aver determinato materialità.
Quanto costa?
Ingaggio esaustivo pre-IPO: R$ 200-600k. Include pentest + Red Team + tabletop + supporto al capitolo del prospetto.
Lavorate con la banca coordinatrice?
Sì. Spesso il coordinatore (BTG, XP, Itaú BBA, Bradesco BBI, Goldman, JPM) richiede evidenze specifiche.
/contatti
Incontro confidenziale pre-IPO
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.