Pentest PIX e DICT (Circular BACEN 3.978)
Pentest mapeado para Circular BACEN 3.978 (PIX) — DICT, MED, devolução, QR Code, fraude por engenharia social e abuse de chave.
Por que agora
A dor real
PIX virou alvo nº1 de fraude no BR — golpe do falso boleto, golpe da chave, MED automatizado por bot. Instituição participante responde por monitoramento de fraude (MED) e pode ser sancionada pelo BACEN. Pentest PIX manual valida controle preventivo + detectivo.
Norma e referência
/superficie-de-ataque
PIX
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
API PIX
Geração de cobrança imediata e cob-v, QR estático e dinâmico, validação de payload assinado.
DICT (chaves)
Cadastro, vinculação, portabilidade, reivindicação, abuse de scraping/enumeration.
MED (Mecanismo Especial de Devolução)
Solicitação, análise, devolução, integração com SPI.
Antifraude transacional
Score de risco, dispositivo confiável, geolocalização, valor anômalo, horário.
Open Finance PIX (Initiator)
Iniciação de pagamento via ITP, consent, redirect, retorno assinado.
QR Code malicioso
Substituição em estabelecimento físico, payload manipulado, validação no app.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Pentest PIX em fintech, banco digital e adquirente; trabalho contínuo de monitoring de fraude.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridade
dos candidatos a pentester reprovam no nosso Crivo
Você sabe quem vai ter acesso ao seu ambiente?
NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.
- Verificação criminal, fiscal e profissional aprofundada
- Avaliação psicométrica e perfil de risco
- Teste de integridade prático com cenários controlados
- Time fixo — não rotativo, sem 'estranho a cada engajamento'
/faq
FAQ — PIX
Vocês testam MED?
Sim. Auditamos fluxo de solicitação, análise, devolução, prazos regulatórios e integração SPI.
Faixa de preço?
API PIX isolada: R$ 20-45k. PIX + DICT + MED + antifraude: R$ 50-120k. PIX + Open Finance ITP: R$ 70-180k.
/contato
Cotar pentest PIX
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.