FAQ

90% manual, 10% automatizado. Scanners encontram o que está documentado; nossos pentesters encontram o que está sendo explorado hoje. Lógica de negócio, encadeamento de falhas e abuso de autorização — scanner não enxerga.

Externo, Interno, Web/API, Mobile, OT/SCADA, Wi-Fi, Engenharia Social (phishing/spear), Red Team completo, e PTaaS recorrente. Veja /precos para preços e escopos detalhados.

Sim. Operamos em Brasil, Portugal, Itália, Espanha, Marrocos, Estados Unidos e Austrália. Engajamentos em USD, BRL ou EUR.

Externo simples: 1 semana. Web app: 2-4 semanas. Red Team completo: 6-12 semanas. PTaaS: contínuo. Toda proposta inclui prazo específico.

1) Você preenche cotação ou agenda reunião. 2) Em até 48h enviamos proposta com escopo, prazo e valor. 3) Assinatura de NDA + Carta de Autorização. 4) Execução. 5) Entrega de relatório executivo + técnico. 6) Reteste opcional.

Os dois. Executivo (3-5 páginas) com nível de risco e impacto de negócio para C-level e board. Técnico (50-150 páginas) com PoC reproduzível, mitigação e mapeamento para regulação aplicável.

Sim. Nossos relatórios são aceitos por auditorias SOC 2 Type II (CC trust services), ISO 27001 (controle A.12.6), PCI-DSS 4.0 (req. 11.4) e equivalentes. Mapeamos findings diretamente aos requisitos do framework.

Não em condições normais. Trabalhamos em ambiente de homologação espelho ou em janelas controladas. Para sistemas críticos (SCADA, hospital, banco core), validamos cada etapa antes de executar. Red flags acordadas previamente garantem parada imediata se necessário.

NDA mútuo obrigatório, comunicação por canal cifrado (Signal/Element), entrega via portal próprio, retenção zero após 90 dias do final report com comprovante de descarte. Veja /legal/privacy.

Apenas com sua autorização expressa e por escrito. Confidencialidade é o padrão. Quando autorizado, podemos listar logo + descrição genérica.

Sim, em Red Team completo. Apenas o sponsor (geralmente CISO/CSO) sabe da operação; a equipe de segurança opera no escuro como em um ataque real. Mede tempo de detecção, resposta e contenção.

Brasil: PIX, boleto, transferência. Internacional: SWIFT, USDC/USDT/BTC via exchange regulada (com KYC). Faturamento em BRL, USD ou EUR conforme jurisdição.

Sim para projetos acima de R$ 20.000 (ou equivalente). Parcelamento em até 6x sem juros mediante análise.

Não. Cancelamento com 30 dias de antecedência. Renovação automática se não houver cancelamento — porque queremos que você fique pelo valor entregue, não por contrato.

Sim. Empresa habilitada para licitação pública, CADIN limpo, certidões em dia. Atendemos órgãos federais, estaduais e municipais brasileiros.

Pentesters seniores com OSCP, CISSP, CRTO, GPEN e CompTIA PenTest+ na média. Cada engajamento tem pelo menos 1 lead e 1 executor, com revisão peer-to-peer antes da entrega.

Sim. Operamos Cobalt Strike, Mythic, Sliver com payloads customizados, OPSEC adequada e cadeia TTPs mapeada em MITRE ATT&CK. Não usamos ferramentas commodity em Red Team sério.

Founder e CEO da intrus.io. 15+ anos em segurança ofensiva, com atuação em Caixa Econômica Federal, Banco BMG, iFood, Polícia Federal, ArcelorMittal, Multibanco, Fórmula 1 e demais clientes regulados.