Pentest ANS: RN 305/2012 e Normas Suplementares
Pentest para operadora de saúde suplementar (planos, seguradoras saúde) sob fiscalização ANS — RN 305, TISS, RN 506, programa de qualificação.
Por que agora
A dor real
Operadora ANS-regulada trata dado ultrassensível de milhões de beneficiários (CID, exame, histórico). Vazamento dispara LGPD + ANS + ação coletiva. RN 305 exige programa de segurança da informação. Sem pentest sério, sanção administrativa garantida.
Norma e referência
/superficie-de-ataque
ANS (Saúde Suplementar)
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
Portal do beneficiário
IDOR em carteirinha, autorização, segunda via, biometria de cadastro.
App mobile do beneficiário
Análise estática/dinâmica, certificate pinning, MASVS L2.
Padrão TISS (XML/REST)
Validação de guia, assinatura digital, integração prestador-operadora.
Portal do prestador credenciado
Acesso indevido, segregação por prestador, abuse de autorização.
Telemedicina interna
Privacidade da consulta vídeo, prontuário, prescrição.
BPO e regulação interna
Acesso de operador interno e BPO, fraude por colaborador.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Pentest em operadora regional, healthtech ANS-regulada e plataforma de telemedicina conveniada.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridade
dos candidatos a pentester reprovam no nosso Crivo
Você sabe quem vai ter acesso ao seu ambiente?
NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.
- Verificação criminal, fiscal e profissional aprofundada
- Avaliação psicométrica e perfil de risco
- Teste de integridade prático com cenários controlados
- Time fixo — não rotativo, sem 'estranho a cada engajamento'
/faq
FAQ — ANS (Saúde Suplementar)
Cobrem TISS completo?
Sim. Auditamos guias, assinatura digital, criptografia, integração prestador-operadora e validação de retorno.
Faixa de preço?
Operadora pequena (regional): R$ 35-80k. Operadora média: R$ 80-180k. Grande operadora multi-produto: R$ 150-350k.
/contato
Cotar pentest ANS
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.