intrus.io
/compliance · BACEN Res. 4.893

Pentest BACEN: Res. 4.893/2021 e CMN 4.658

Pentest aderente à Resolução BACEN 4.893/2021 (cibersegurança) e CMN 4.658 (terceirização). Aceito em fiscalização BACEN e relatório DICOI.

Falar com nosso CEOVer vetores
90% manual · 10% automatizado
OSCP · CISSP · CRTO · GPEN
BR · PT · IT · ES · MA · US · AU
OWASP · MITRE · PTES · NIST

Por que agora

A dor real

Instituição financeira regulada pelo BACEN não tem opção: Res. 4.893 exige programa de cibersegurança formal, com pentest periódico, gestão de fornecedor crítico e plano de continuidade. Fiscalização DICOI valida tudo. Sem pentest sério, vira RAS-3 (recomendação de ajuste sério).

Norma e referência

BACEN Res. 4.893/2021CMN Res. 4.658/2018BACEN Circ. 3.978 (PIX)BACEN Comunicado 38.072

/superficie-de-ataque

BACEN Res. 4.893

Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.

01

Internet banking (PF e PJ)

Transferência, OTP, biometria, fraude em assinatura digital, certificado A1/A3.

02

Core bancário e mainframe

Integração z/OS, segregação por agência/papel, batch financeiro.

03

App mobile e wallet

Reverse engineering, certificate pinning, biometria, MASVS L2.

04

Cartões e adquirência

Tokenização, EMV, autorização, estorno, fraude transacional.

05

Fornecedor crítico (CMN 4.658)

Cyber due diligence em provider de processing, cloud, BPO.

06

Backoffice e BPO

Acesso interno, fraude por colaborador, dupla custódia.

/metodologia

Pentest manual de verdade

Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.

01 · Reconhecimento

Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.

02 · Descoberta

Enumeração profunda, scan complementar, identificação manual de exposição.

03 · Exploração

Validação manual com PoC controlada, encadeamento de findings, escalação.

04 · Relatório

Executivo + técnico, replicação passo a passo, mapeado para regulação.

/por-que-confiar

Quem já confiou no nosso trabalho

Caixa Econômica Federal — reconhecido como melhor pentest técnico em avaliação competitiva. Banco BMG.

Caixa Econômica Federal
Banco BMG
iFood
ArcelorMittal
Multibanco
Polícia Federal
Fórmula 1
OpenFinance

Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.

DL

Douglas Lopes

Founder · CEO · intrus.io

/crivo · programa de integridade

87%

dos candidatos a pentester reprovam no nosso Crivo

Você sabe quem vai ter acesso ao seu ambiente?

NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.

  • Verificação criminal, fiscal e profissional aprofundada
  • Avaliação psicométrica e perfil de risco
  • Teste de integridade prático com cenários controlados
  • Time fixo — não rotativo, sem 'estranho a cada engajamento'
Conhecer o programa Crivocrivo.intrus.io

/faq

FAQ — BACEN Res. 4.893

Vocês entregam relatório aceito em fiscalização BACEN?

Sim. Formato técnico + executivo, mapeamento por seção da Res. 4.893, evidência objetiva de teste manual.

Cobrem CMN 4.658 (terceirização)?

Sim. Realizamos cyber due diligence de fornecedor crítico, com output em formato que vai pro Anexo I do contrato.

/contato

Falar com nosso CEO

Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.

Falar agoraVer outros setores

Outros setores que atendemos

/lgpd

LGPD

/iso-27001

ISO 27001:2022

/pci-dss

PCI-DSS 4.0

/open-finance

Open Finance / FAPI

/pix

PIX

/soc-2

SOC 2 Type II