01
O que o pentest ajuda a responder
O pentest avalia, dentro de um escopo autorizado, se vulnerabilidades e falhas de configuração podem ser combinadas para comprometer sistemas, dados ou objetivos relevantes para o negócio.
- Quais exposições podem ser exploradas no cenário avaliado.
- Qual impacto técnico foi demonstrado com evidências controladas.
- Quais correções devem receber prioridade e validação posterior.
02
Como conduzimos o trabalho
Planejamento e regras de engajamento
Objetivos, ativos, técnicas permitidas, exclusões, janelas, contatos de emergência e critérios de interrupção são aprovados antes de qualquer teste.
Execução controlada
Os testes seguem o escopo formal e buscam comprovar impacto com o menor nível de exposição necessário, preservando registros das ações e descobertas relevantes.
Relatório e conversa técnica
Os achados são apresentados com evidências, risco, caminho de exploração e recomendações. O encerramento inclui uma conversa para alinhar entendimento e prioridades.
03
O que pode entrar no escopo
A cobertura é definida caso a caso e depende de autorização, viabilidade e competência acordada. Nenhum alvo é incluído por presunção.
- Aplicações web e APIs autorizadas.
- Ativos externos e serviços expostos à internet.
- Redes, sistemas e identidades internas autorizadas.
- Configurações e recursos de nuvem explicitamente incluídos.
04
Segurança, privacidade e limites
O serviço não começa sem autorização formal. Dados acessados durante a avaliação são minimizados, protegidos e tratados conforme o contrato; ações destrutivas, persistência e indisponibilidade ficam proibidas salvo aprovação específica e controlada.
- Responsável autorizado e escopo identificável.
- Critérios de parada e comunicação para situações inesperadas.
- Regras de evidência, retenção e descarte seguro.
05
Quando considerar um pentest
A avaliação tende a fazer sentido antes de uma entrada relevante em produção, após mudanças importantes, em ciclos de garantia de segurança ou quando o negócio precisa comprovar riscos além de uma varredura automatizada.
06
O que definimos antes da proposta
A Plattano confirma objetivo, ativos, arquitetura, criticidade, ambientes, credenciais, técnicas permitidas, janela, contatos, tratamento de dados, entregáveis e necessidade de reteste.