Pentest Pré-IPO: S-1, B3, NYSE, Nasdaq
Pentest exaustivo para empresa em fase pré-listagem. Vai compor o capítulo de cybersecurity risk do prospecto. SEC SK 1.05, B3 IAN, NYSE/Nasdaq cyber disclosure.
Por que agora
A dor real
Banco coordenador, advogado de IPO e auditor PCAOB abrem o pacote de risco cibernético no mês 4 de roadshow. Empresa que não tem pentest serial nos últimos 24 meses vira ressalva no prospecto e gatilho de desconto na precificação. SEC pede disclosure de incidente em 4 dias úteis (SK 1.05). Sem readiness, IPO atrasa ou perde tração.
Contexto e regulação
/superficie-de-ataque
Pré-IPO
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
Pentest exaustivo de superfície
Todas as superfícies críticas — web, API, mobile, cloud, AD, infra. Sem buraco que vire ressalva no prospecto.
Red Team mapeado em ATT&CK
Simulação adversarial com objetivo: "comprometer sistema material para a tese de investimento".
Auditoria de third-party risk
Fornecedores críticos, SaaS, serviços terceirizados — cyber due diligence reversa.
Capítulo de cyber risk
Apoio à elaboração do capítulo de cybersecurity risk no prospecto/F-1/IAN, alinhado a SK 1.05.
Tabletop de incident response com C-level
Validação de runbook 4-day disclosure SEC, BACEN, ANPD. Time treinado para crise pós-IPO.
Evidência objetiva para PCAOB
Relatório técnico + plano de remediação + retest documentado, aceito por auditor independente.
Pós-listagem: pentest contínuo
Cadência mensal de retainer para manter disclosure compliance pós-IPO.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Engajamentos em empresas brasileiras em fase de listagem B3 e NYSE. Time já operou cyber due diligence pré-IPO em fintech e healthtech.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridade
dos candidatos a pentester reprovam no nosso Crivo
Você sabe quem vai ter acesso ao seu ambiente?
NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.
- Verificação criminal, fiscal e profissional aprofundada
- Avaliação psicométrica e perfil de risco
- Teste de integridade prático com cenários controlados
- Time fixo — não rotativo, sem 'estranho a cada engajamento'
/faq
FAQ — Pré-IPO
Quando começa o pentest pré-IPO?
Idealmente 6-12 meses antes do roadshow. Em janela mais curta (3-6 meses) é possível mas o escopo precisa ser priorizado e o esforço de remediação fica condensado.
SEC realmente exige disclosure de incidente em 4 dias?
Sim, SK 1.05 (vigente desde dez/2023). Empresa listada em NYSE/Nasdaq tem 4 dias úteis após determinar materialidade. Sem runbook treinado, é mortal.
Quanto custa?
Engajamento exaustivo pré-IPO: R$ 200-600k dependendo de tamanho e complexidade. Inclui pentest + Red Team + tabletop + apoio ao capítulo do prospecto. Investimento mínimo perto do tamanho do desconto de precificação que ele evita.
Vocês trabalham com banco coordenador?
Sim. Frequentemente o coordenador (BTG, XP, Itaú BBA, Bradesco BBI, Goldman, JPM) pede evidência específica. Coordenamos entregáveis com o banco.
/contato
Reunião confidencial pré-IPO
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.