Pentest ISO 27001:2022 — Controles A.8.8 e A.8.29
Pentest aderente a ISO/IEC 27001:2022 com mapeamento direto para A.8.8 (Gestão de vulnerabilidades técnicas) e A.8.29 (Teste de segurança em desenvolvimento e aceitação).
Por que agora
A dor real
Auditor BSI, BV, DNV, TÜV abre o Anexo A e pergunta: "Como demonstram A.8.8 e A.8.29?". Resposta com print de Nessus reprova. Pentest manual com cadeia de exploração, PoC reproduzível e evidência de retest é o entregável que passa em recertificação anual sem ressalva.
Norma e referência
/superficie-de-ataque
ISO 27001:2022
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
A.8.8 — Gestão de vulnerabilidades técnicas
Inventário de ativos, validação de patch, retest, evidência de remediação com janela tempo.
A.8.29 — Teste de segurança
Teste em desenvolvimento, homologação e produção — com critério de aceitação documentado.
A.8.25-28 — SDLC seguro
Validação de revisão de código, ambientes segregados, controle de mudança.
A.5.7 — Inteligência de ameaças
Threat intelligence operando no pentest como insumo (CTI mapeado a setor).
A.8.16 — Monitoring
Validação de logging e SIEM durante exercício, oportunidades de detecção.
A.8.20-23 — Network e cloud
Segregação, controle de fluxo, web filtering, hardening, gestão de acesso à cloud.
Evidência para auditor
Relatório técnico estruturado por controle do Anexo A com mapping reverso.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Empresas em ciclo de certificação BSI, BV, DNV, TÜV. Recertificação anual aceita sem ressalva técnica em A.8.8/A.8.29.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridade
dos candidatos a pentester reprovam no nosso Crivo
Você sabe quem vai ter acesso ao seu ambiente?
NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.
- Verificação criminal, fiscal e profissional aprofundada
- Avaliação psicométrica e perfil de risco
- Teste de integridade prático com cenários controlados
- Time fixo — não rotativo, sem 'estranho a cada engajamento'
/faq
FAQ — ISO 27001:2022
Pentest é obrigatório para ISO 27001:2022?
Não literalmente, mas o controle A.8.8 exige gestão de vulnerabilidades técnicas e o A.8.29 exige teste de segurança. Sem pentest manual sério, é praticamente impossível demonstrar esses controles em auditoria.
Funciona para certificação inicial e para recertificação?
Sim. Para certificação inicial, fornecemos relatório + plano de tratamento. Para recertificação anual, retest dos findings + novos vetores cobrindo mudanças do último ciclo.
Auditor BSI/BV/DNV aceita o relatório?
Sim. Modelo de relatório estruturado por controle do Anexo A, com PoC reproduzível e mapping reverso para os requisitos. Já aceito em recertificações em diversos clientes.
ISO 27701 também?
Sim. ISO 27701 (extensão de privacidade) reaproveita boa parte do escopo, com foco adicional em LGPD/GDPR. Cobrimos ambos no mesmo engajamento se a empresa estiver dual-certified.
/contato
Validar ISO 27001:2022
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.