Pentest HIPAA: Security Rule, Breach Notification
Pentest HIPAA Security Rule (Administrative, Physical, Technical Safeguards) + Breach Notification. Para Business Associate (BA) servindo US healthcare.
Por que agora
A dor real
Healthtech brasileira vendendo para US healthcare é Business Associate (BA) sob HIPAA. BAA assinada, OCR audit ativo, multa de até US$ 1.9M/violação. Pentest HIPAA é parte essencial do BAA — sem ele, cliente cancela contrato.
Norma e referência
/superficie-de-ataque
HIPAA (US)
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
Technical Safeguards (§164.312)
Access control, audit controls, integrity, transmission security.
Administrative Safeguards (§164.308)
Risk analysis, workforce training, contingency, incident procedures.
Physical Safeguards (§164.310)
Facility access, workstation security, device controls.
ePHI handling
Criptografia em repouso e trânsito, segregação de PHI, minimização.
Breach Notification (§164.404-408)
Runbook de detecção, análise de breach, notificação OCR + indivíduos.
Business Associate Agreement
Validação técnica das obrigações do BAA, due diligence de sub-BA.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Healthtech brasileira com clientes US, sob BAA com hospitais/payers/PBM americanos.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridade
dos candidatos a pentester reprovam no nosso Crivo
Você sabe quem vai ter acesso ao seu ambiente?
NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.
- Verificação criminal, fiscal e profissional aprofundada
- Avaliação psicométrica e perfil de risco
- Teste de integridade prático com cenários controlados
- Time fixo — não rotativo, sem 'estranho a cada engajamento'
/faq
FAQ — HIPAA (US)
Vocês entendem OCR audit protocol?
Sim. Conhecemos os 169 control areas e mapeamos pentest para os controles avaliados em audit.
Faixa de preço?
Healthtech pequena com ePHI: R$ 40-80k. Plataforma multi-tenant servindo payers: R$ 80-200k.
/contato
Cotar pentest HIPAA
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.