Contratar um serviço de teste de invasão é uma decisão crítica. Um pentest mal executado dá falsa sensação de segurança, enquanto um bom pentest pode evitar prejuízos milionários. Aqui estão os 7 critérios que você deve avaliar.
1. Certificações da equipe
As certificações dizem muito sobre a capacidade técnica dos profissionais. Procure empresas cujos pentesters possuam:
- OSCP (Offensive Security Certified Professional) -- a mais respeitada do mercado, exige exploração prática em ambiente real
- CEH (Certified Ethical Hacker) -- abrange fundamentos amplos de hacking ético
- GPEN (GIAC Penetration Tester) -- foco em metodologia e ferramentas
- OSWE / OSED -- especializações em web e exploits
Desconfie de empresas que não divulgam as certificações de sua equipe. Transparência técnica é fundamental.
2. Metodologia documentada
Uma empresa séria segue metodologias reconhecidas e consegue explicar o processo de ponta a ponta:
- NIST SP 800-115 -- guia técnico de referência do governo americano
- OWASP Testing Guide -- padrão para aplicações web
- OSSTMM -- metodologia aberta com foco em métricas de segurança
- PTES (Penetration Testing Execution Standard) -- framework completo
Pergunte: "Qual metodologia vocês seguem e como adaptam ao meu escopo?"
3. Qualidade do relatório
O relatório é o principal entregável de um pentest. Um bom relatório deve conter:
- Sumário executivo -- para diretoria e gestores, sem jargão técnico
- Detalhamento técnico -- para a equipe de TI/DevOps implementar correções
- Evidências -- screenshots, payloads, requisições/respostas HTTP
- Classificação de risco -- CVSS ou equivalente, com contexto de negócio
- Recomendações práticas -- não apenas "corrija a vulnerabilidade", mas como
Peça um relatório de amostra antes de contratar. Empresas sérias não têm problema em mostrar.
4. Reteste incluído
Após corrigir as vulnerabilidades, é essencial validar que as correções funcionaram. Verifique se a proposta inclui:
- Reteste das vulnerabilidades identificadas (sem custo adicional)
- Prazo razoável para reteste (30-60 dias após entrega do relatório)
- Relatório de reteste atualizado
5. Comunicação durante o teste
Um bom fornecedor mantém comunicação ativa durante o engajamento:
- Alerta imediato para vulnerabilidades críticas (não espera o relatório final)
- Canal direto com o pentester (não apenas com o comercial)
- Status updates periódicos sobre o progresso
6. Escopo e transparência comercial
Desconfie de propostas genéricas. Uma boa proposta deve detalhar:
- Alvos específicos (IPs, URLs, apps)
- Tipo de teste (Black/Grey/White Box)
- Duração estimada e equipe alocada
- O que está incluído e o que não está
- NDA (acordo de confidencialidade)
7. Experiência no seu segmento
Pentests em fintechs, healthtechs e e-commerces têm nuances diferentes. Avalie se a empresa tem experiência no seu setor e entende as regulamentações aplicáveis (PCI-DSS para pagamentos, HIPAA para saúde, LGPD para dados pessoais).
Por que o PentestGPT atende estes 7 critérios
No PentestGPT, cada projeto é conduzido por especialistas certificados (OSCP, CEH), seguindo NIST 800-115 e OWASP, com IA integrada ao processo. Entregamos relatórios executivos e técnicos com evidências, incluímos reteste, e mantemos canal direto com o pentester durante todo o engajamento.