Cyber Due Diligence em M&A: Antes de Assinar
Avaliação cibernética da empresa-alvo: vulnerabilidades exploráveis, exposição de dado, incidente histórico, compliance, contingência financeira da multa.
Por que agora
A dor real
Comprador descobre depois do closing que a alvo tem dump de 3M de clientes na deep web, multa LGPD em andamento e ransomware que aconteceu há 6 meses não divulgado. Earn-out vira ação judicial. Cyber due diligence pré-assinatura blinda o comprador e vira material de barganha de preço.
Contexto e regulação
/superficie-de-ataque
Due Diligence M&A
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
Inventário de superfície externa
ASM completa da empresa-alvo: domínios, subdomínios, cloud assets, exposições WAN.
Pentest amostral de produção
Sob NDA: pentest focado nos sistemas que sustentam a receita declarada na DD.
Threat intel: incidente histórico
Verificação em deep/dark web, fóruns criminais, base de breach. A alvo já vazou no passado?
Maturidade de SOC e compliance
Existência de pentest passado, SOC, EDR, política de segurança, treinamento. Capabilities reais.
Análise de processos LGPD/GDPR/ANPD
Multa em andamento, TAC com ANPD, ação coletiva — passivos cibernéticos contingentes.
Análise de third-party
Quais fornecedores críticos a alvo usa, contratos, SLA, risco herdado pelo comprador.
Recomendação de cláusula contratual
Cyber rep & warranty, indenização específica, retenção de earn-out condicionada a remediação.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Trabalho confidencial em transações no setor financeiro, saúde e SaaS B2B. Output usado para barganha de preço e estruturação de earn-out.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridade
dos candidatos a pentester reprovam no nosso Crivo
Você sabe quem vai ter acesso ao seu ambiente?
NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.
- Verificação criminal, fiscal e profissional aprofundada
- Avaliação psicométrica e perfil de risco
- Teste de integridade prático com cenários controlados
- Time fixo — não rotativo, sem 'estranho a cada engajamento'
/faq
FAQ — Due Diligence M&A
A empresa-alvo sabe que está sendo auditada?
Depende da estrutura. Em "green light" DD, sim — colaborativa com data room. Em DD adversarial (raríssima fora de hostile takeover), só com ativos públicos via ASM/OSINT, sem tocar produção.
Quanto dura e quanto custa?
3-6 semanas pra DD completa. R$ 80-250k dependendo de tamanho da target e complexidade. Investimento típico = 0.5-2% do enterprise value, retorna 5-50x em barganha de preço/condições.
Resultado pode bloquear o deal?
Tecnicamente sim, mas é raro. O mais comum é virar input pra ajuste de preço, retenção de earn-out, indenização específica ou cláusula de remediação obrigatória pós-closing.
Vocês conversam com escritório jurídico do deal?
Sim. Frequentemente coordenamos entregáveis com Pinheiro Neto, Mattos Filho, Demarest, BMA, Veirano. Output em formato citável em SPA/SHA.
/contato
DD cibernética confidencial
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.