Ir para o conteúdo principal
Guia de seleção

Como escolher uma empresa de pentest

O mercado de pentest no Brasil é heterogêneo: a diferença de qualidade entre fornecedores pode ser enorme. Este guia apresenta os critérios objetivos para selecionar uma empresa, as certificações que realmente importam e os sinais de alerta que indicam baixa qualidade.

Critérios de seleção

O que avaliar em um fornecedor de pentest

Certificações práticas da equipe

OSCP, OSWE, OSEP e CRTO são certificações práticas que exigem exploração real de sistemas. CEH e Security+ são teóricas. Pergunte quais especialistas farão o seu projeto e quais certificações possuem.

Equipe própria x terceirização

Algumas empresas terceirizam os testes para freelancers após ganhar o contrato. Isso impacta responsabilidade, qualidade e confidencialidade. Pergunte diretamente quem vai executar o projeto.

Amostra de relatório anterior

Solicite uma versão anonimizada de um relatório anterior. Um bom relatório tem evidências com screenshots, payload utilizado, passos para reprodução, CVSS calculado e recomendações específicas.

Metodologia documentada

O fornecedor deve conseguir explicar claramente a metodologia: quais frameworks seguem (PTES, OWASP, NIST), quais fases o projeto terá e quais são os critérios de parada.

Reteste incluído

Um pentest sem reteste não valida se as correções foram efetivas. Fornecedores sérios incluem reteste das vulnerabilidades críticas e altas no preço do projeto.

Referências e histórico

Peça referências de clientes do mesmo setor. Empresas com histórico sólido conseguem apresentar ao menos 2 a 3 referencias verificáveis no seu segmento.

Sinais de alerta

Red flags ao avaliar fornecedores

! Prazo de entrega inferior a 2 dias úteis para qualquer escopo
! Proposta sem menção a metodologia, fases ou ferramentas
! Sem certificações práticas (OSCP, OSWE) na equipe que fará o projeto
! Relatório entregue em menos de 24h após o início do teste
! Preço muito abaixo do mercado sem justificativa de escopo reduzido
! Não consegue explicar como testa lógica de negócio específica da aplicação
! Sem reteste incluído na proposta
! Uso de termos genéricos: "escaneamos seu sistema completamente", "usamos as melhores ferramentas"
! Sem NDA ou contrato de confidencialidade antes da troca de informações sensíveis
! Não pede escopo detalhado antes de enviar proposta
Checklist

Perguntas para fazer ao fornecedor

01 Quem são os especialistas que farão o meu projeto? Quais certificações possuem?
02 Os profissionais são CLT ou freelancers subcontratados?
03 Vocês podem compartilhar uma amostra anonimizada de um relatório anterior?
04 Qual metodologia seguem? PTES, OWASP, NIST ou outra?
05 Como vocês testam lógica de negócio específica da aplicação?
06 O reteste está incluído? Quantas rodadas?
07 Qual o canal de comunicação para descobertas críticas durante o projeto?
08 Vocês têm experiência com empresas do meu setor? Podem me dar referências?
09 Como garantem a confidencialidade dos dados do meu ambiente?

Conheça a abordagem da First Security

Equipe própria, certificada, com relatório de qualidade e reteste incluído em todos os projetos.

Solicitar orçamento Conhecer a empresa