Pentest PCI-DSS 4.0 — Requirement 11.4 com QSA
Pentest aderente a PCI-DSS 4.0 req 11.4 (penetration testing) — interno + externo + segmentation testing. Aceito por QSA em auditoria anual e após mudança significativa.
Por que agora
A dor real
Adquirente, gateway de pagamento, e-commerce que processa cartão, fintech com TEF — PCI-DSS req 11.4 exige pentest anual e após cada mudança significativa. QSA examina o relatório com lupa. Scan disfarçado não passa. Documento de scope CDE/segmentação mal feito também não.
Norma e referência
/superficie-de-ataque
PCI-DSS 4.0
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
Req 11.4.1 — Metodologia documentada
Cobertura PTES + OWASP + NIST SP 800-115 com critério explícito de pentest interno/externo.
Req 11.4.2 — Pentest interno
Rede CDE, ataque a partir de in-scope segment, lateral movement, escalação.
Req 11.4.3 — Pentest externo
Perímetro WAN, exposições, aplicação web, API consumida por terminal/POS.
Req 11.4.4 — Mudança significativa
Pentest extraordinário após mudança em CDE, nova aplicação, novo provedor.
Req 11.4.5 — Segmentation testing
Validação que o CDE está isolado do not-in-scope. Crítico — falha aqui amplia o escopo PCI.
Req 11.4.6 — Service provider
Para provedor de serviço PCI, pentest semestral em controles de segmentação.
Req 11.4.7 — Remediação e retest
Evidência de correção de findings exploráveis + retest documentado.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Adquirentes, gateways, e-commerce com cartão presente. Pentest aceito por QSAs reconhecidos para certificação anual PCI-DSS 4.0.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridade
dos candidatos a pentester reprovam no nosso Crivo
Você sabe quem vai ter acesso ao seu ambiente?
NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.
- Verificação criminal, fiscal e profissional aprofundada
- Avaliação psicométrica e perfil de risco
- Teste de integridade prático com cenários controlados
- Time fixo — não rotativo, sem 'estranho a cada engajamento'
/faq
FAQ — PCI-DSS 4.0
PCI-DSS 4.0 mudou o que sobre pentest?
Sim. A 4.0 separou explicitamente metodologia (11.4.1), interno (11.4.2), externo (11.4.3), pós-mudança (11.4.4) e segmentation (11.4.5). Tornou explícita exigência de retest. Também trouxe customizable approach com risk analysis.
QSA aceita o relatório?
Sim. Modelo PCI-aligned com escopo CDE, segmentação testada, retest documentado e PoC reproduzível por finding. Já aceito por QSAs ativos no Brasil.
Quanto dura?
Engajamento típico: 4-8 semanas. CDE de e-commerce pequeno: 3-4 semanas. CDE de adquirente com TEF + gateway: 6-10 semanas.
Segmentation testing como funciona?
Tentamos atingir CDE a partir de hosts not-in-scope. Se conseguimos, segmentação falhou e o escopo PCI expande. É um dos pontos mais fiscalizados pelo QSA em 4.0.
/contato
Cotar pentest PCI-DSS 4.0
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.