Quanto custa um pentest para empresas brasileiras?

Resposta direta

Um pentest de escopo básico (infraestrutura externa até 10 IPs) começa em R$ 8.000–R$ 15.000 com empresas regionais. Testes de aplicação web completos ficam entre R$ 18.000–R$ 45.000. Red team com simulação avançada de APT custa R$ 60.000–R$ 150.000+. O preço varia com escopo, profundidade técnica, certificações dos analistas (OSCP, CREST) e prazo de entrega.

Em resumo

  • Pentest de infraestrutura externa básico: R$ 8.000–R$ 25.000
  • Teste de aplicação web com lógica de negócio: R$ 18.000–R$ 45.000
  • Red team / Simulação de APT: R$ 60.000–R$ 150.000+
  • Analistas com OSCP/CREST cobram 40–70% mais que não-certificados — e entregam mais valor
  • Preço baixo sem metodologia documentada é alerta vermelho: relatório genérico não serve para auditoria
  • Pentest anual é exigência de PCI DSS, ISO 27001 e contratos com instituições financeiras

Tabela de preços de pentest no Brasil em 2026

Os valores abaixo refletem o mercado brasileiro de segurança ofensiva em 2026, levando em conta escopo, profundidade e credenciais dos profissionais envolvidos. Empresas do Sul e Sudeste com marcas reconhecidas tendem a cobrar os valores superiores de cada faixa; fornecedores sem certificações internacionais ficam na faixa inferior.

**Infraestrutura externa (até 10 IPs):** R$ 8.000–R$ 15.000 / até 10 dias úteis **Infraestrutura interna (on-premise):** R$ 12.000–R$ 28.000 / 10–15 dias úteis **Aplicação web (OWASP Top 10):** R$ 18.000–R$ 35.000 / 10–15 dias úteis **Aplicação web (lógica de negócio + autenticação):** R$ 30.000–R$ 55.000 / 15–20 dias úteis **API security (REST/GraphQL):** R$ 15.000–R$ 30.000 / 7–12 dias úteis **Mobile (iOS + Android):** R$ 20.000–R$ 40.000 / 10–15 dias úteis **Cloud (AWS/Azure/GCP):** R$ 25.000–R$ 60.000 / 10–20 dias úteis **Red team / Simulação APT (escopo aberto):** R$ 60.000–R$ 150.000+ / 30–60 dias

O que está incluído no preço de um pentest

Um pentest profissional inclui cinco entregas: (1) Relatório executivo — resumo de risco, impacto de negócio e prioridades de remediação para a diretoria; (2) Relatório técnico — vulnerabilidades com CVSS, evidências de exploração, PoC reproduzível e recomendações de correção; (3) Reunião de kickoff — alinhamento de escopo, regras de engajamento e janelas de teste; (4) Sessão de debriefing — apresentação dos achados para time técnico e gestão; (5) Reteste gratuito — verificação de remediação das vulnerabilidades críticas/altas (empresas sérias incluem pelo menos um reteste grátis).

Fornecedores que entregam apenas um relatório PDF sem debriefing nem reteste estão vendendo o produto mínimo. Empresas que precisam de pentest para compliance (PCI DSS, ISO 27001, LGPD) devem exigir que o relatório inclua a metodologia utilizada (PTES, OWASP, OSSTMM ou NIST SP 800-115) e seja assinado por analista certificado.

Gestão de Ameaças · Grátis

Seu ambiente tem vulnerabilidades que um pentest encontraria? A Decripte oferece avaliação técnica inicial gratuita para mapear a superfície de ataque antes de você investir em um teste completo.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Pentest anual vs. programa contínuo: o que faz mais sentido

Pentest anual atende requisitos de compliance (PCI DSS 11.3, ISO 27001 Annexe A 8.8) mas oferece cobertura limitada: identifica vulnerabilidades em uma fotografia do ambiente. Um ambiente que muda mensalmente — novas APIs, releases de aplicação, mudanças de configuração — pode ter ficado exposto por 11 meses antes do próximo teste.

Programa de segurança ofensiva contínuo combina: pentest anual completo (scope amplo) + pentests trimestrais de aplicações novas + bug bounty para descoberta contínua + revisão de configuração mensal (CSPM na cloud). O custo anual de um programa contínuo para empresas de médio porte fica entre R$ 80.000 e R$ 200.000 — e reduz o time-to-detect de vulnerabilidades críticas de 12 meses para semanas.

Como contratar um pentest sem pagar caro por pouco

Cinco critérios para avaliar um fornecedor de pentest: (1) Certificações dos analistas — exija ao menos um profissional com OSCP (Offensive Security Certified Professional) ou equivalente (CREST, CEH Practical, GPEN); (2) Metodologia documentada — o fornecedor deve citar PTES, OWASP Testing Guide, OSSTMM ou NIST; (3) Amostras de relatório — peça exemplo anonimizado; relatórios genéricos ('Vulnerabilidade X detectada. Recomendamos correção.') não servem para auditoria; (4) Seguro de responsabilidade profissional (E&O) — profissionais sérios têm seguro para cobrir danos acidentais durante o teste; (5) Regras de engajamento formais — contrato deve detalhar IPs autorizados, janela de testes, procedimento de emergência e confidencialidade.

Gestão de Ameaças · Grátis

Sem cartão, sem compromisso — entenda o seu risco real antes de investir.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Por que preço baixo é alerta vermelho em pentest

Pentests anunciados por R$ 1.000–R$ 5.000 tipicamente são: scan automatizado de vulnerabilidades (Nessus, OpenVAS) com geração de relatório semi-automático — sem exploração manual, sem análise de lógica de negócio, sem verificação de falsos positivos. Essa abordagem tem valor limitado: ferramentas automatizadas identificam 30–40% das vulnerabilidades que um teste manual identifica; falsos positivos chegam a 60% dos achados não-verificados.

Para compliance (PCI DSS, ISO 27001, BACEN), scanners automatizados não substituem pentest manual qualificado. A ANPD e auditores de conformidade pedem evidência de teste manual realizado por profissional credenciado, não apenas output de scanner. Comprar preço baixo e ter o relatório rejeitado na auditoria é o cenário mais caro possível.

Pentest e LGPD: o que a lei exige

A LGPD (Art. 46) exige que controladores adotem 'medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais'. Embora a lei não cite pentest explicitamente, a ANPD interpreta que a ausência de testes de segurança em sistemas que processam dados pessoais constitui ausência de diligência mínima — especialmente após incidente.

Empresas que sofreram vazamento de dados e não realizavam pentests regulares têm recebido agravante de penalidade por negligência. Em contrapartida, organizações que demonstram programa de testes periódicos documentado têm conseguido mitigação de multa por boa-fé e accountability. O custo de pentest anual (R$ 20.000–R$ 50.000 para PME) é irrelevante comparado ao risco de multa ANPD (até R$ 50 milhões por infração).

Comparativo

TipoEscopoPreço (R$)PrazoPara quem
VA AutomatizadoInfraestrutura1.500–5.0001–3 diasConformidade inicial
Pentest Infra ExternaAté 10 IPs externos8.000–25.0001–2 semanasPME, exigência contratual
Pentest Web AppAplicação web completa18.000–55.0002–3 semanasE-commerce, SaaS, fintech
Pentest CloudAWS / Azure / GCP25.000–60.0002–3 semanasCloud-native, SaaS
Red TeamEscopo aberto (APT)60.000–150.000+4–8 semanasEnterprise, governos, bancos

Termos-chave

OSCP
Offensive Security Certified Professional — certificação prática de penetration testing da Offensive Security, considerada padrão-ouro da indústria. Exige exploração real de 5 máquinas em 24 horas sem auxílio de ferramentas automáticas.
CVSSv3
Common Vulnerability Scoring System versão 3 — escala 0–10 que mede a severidade de vulnerabilidades. Crítico (9.0–10.0), Alto (7.0–8.9), Médio (4.0–6.9), Baixo (0.1–3.9).
Red Team
Simulação avançada de ataque que imita táticas, técnicas e procedimentos (TTPs) de grupos APT reais. Escopo aberto: o time ofensivo pode usar qualquer vetor (físico, social, técnico) para atingir os objetivos definidos.
PTES
Penetration Testing Execution Standard — metodologia aberta que define as 7 fases de um pentest profissional: pré-engajamento, coleta de inteligência, modelagem de ameaças, análise de vulnerabilidades, exploração, pós-exploração e relatório.

Como decidir e contratar bem

  1. Definir escopo e objetivos: Liste os sistemas a testar (IPs, URLs, aplicativos), defina os objetivos (encontrar vulnerabilidades críticas, testar processo de detecção, validar controles) e esclareça restrições (janelas de horário, sistemas fora do escopo).
  2. Solicitar cotações de ao menos 3 fornecedores: Envie o escopo por escrito e exija proposta que inclua: metodologia, certificações dos analistas, cronograma, entregáveis (relatórios executivo e técnico, reteste) e seguro de responsabilidade.
  3. Avaliar amostras de relatório: Peça um relatório exemplo anonimizado. Bons relatórios incluem: contexto de negócio do risco, cadeia de exploração documentada com screenshots, CVSS por vulnerabilidade e recomendações específicas (não genéricas).
  4. Assinar Regras de Engajamento (RoE): Formalize: IPs/URLs autorizados, janela de testes, ponto de contato de emergência, procedimento se sistema cair, confidencialidade e destruição de dados após o teste.
  5. Acompanhar o kickoff técnico: Participe da reunião inicial com o time técnico interno para alinhar expectativas, confirmar escopos e definir canal de comunicação para alertas durante o teste.
  6. Receber e priorizar os achados: Organize vulnerabilidades por criticidade (CVSS) × facilidade de exploração × impacto de negócio. Vulnerabilidades críticas devem ser remediadas em até 30 dias, altas em 60 dias, médias em 90 dias.
  7. Solicitar reteste: Após remediar as vulnerabilidades críticas e altas, solicite o reteste incluído no contrato. O certificado de reteste é o documento que prova para auditores que o problema foi corrigido.

Perguntas frequentes

Quanto tempo leva um pentest?

Depende do escopo. Infraestrutura externa básica: 3–5 dias úteis de teste + 3–5 dias de relatório = 1–2 semanas. Aplicação web complexa: 5–10 dias de teste + 5 dias de relatório = 2–3 semanas. Red team: 4–8 semanas de simulação + 2 semanas de relatório.

Qual a diferença entre pentest e vulnerability assessment?

Vulnerability assessment (VA) usa ferramentas automatizadas para identificar vulnerabilidades conhecidas — é rápido, barato e gera muito ruído (falsos positivos). Pentest é manual: o analista explora as vulnerabilidades, encadeia-as e demonstra impacto real no negócio. VA identifica o que existe; pentest demonstra o que é exploitável.

Empresas pequenas precisam de pentest?

Depende do contexto. PMEs sem dados sensíveis ou transações financeiras podem começar com VA trimestral + hardening básico. PMEs que processam dados pessoais (LGPD), aceitam pagamentos (PCI DSS) ou trabalham com governo ou grandes empresas geralmente precisam de pentest anual — seja por exigência regulatória, seja por clausula contratual do cliente.

Preciso avisar alguém interno antes do pentest?

Sim — ao menos o gestor de TI/segurança, o CISO e a área jurídica devem estar cientes. O time de SOC (se houver) pode participar como exercício de detecção (Purple Team) ou ficar cego ao teste para medir capacidade de detecção real. Comunicar apenas o mínimo necessário ('need-to-know') preserva o realismo do teste.

Posso fazer pentest no ambiente de produção?

Sim, e é recomendável — testar em produção é o único modo de identificar vulnerabilidades no ambiente real que os atacantes encontrarão. O risco é gerenciado pelas Regras de Engajamento: janelas fora do horário comercial, controles de rollback planejados e comunicação de emergência definida. Testes exclusivamente em staging podem perder configurações incorretas de produção.

O que fazer se o pentest encontrar vulnerabilidade crítica em produção?

Fornecedores profissionais comunicam imediatamente vulnerabilidades críticas — não esperam o relatório final. O protocolo é: analista documenta e comunica ao ponto de contato, time interno avalia exposição, decide pela mitigação imediata (patch, WAF rule, desabilitar feature) ou aceita o risco monitorado até patch planejado. O analista para de explorar aquela cadeia e aguarda instrução.

Pentest cobre segurança de cloud?

Um pentest de infraestrutura cobre a camada de aplicação e protocolos expostos na cloud. Mas segurança cloud completa requer Cloud Security Posture Management (CSPM) — avaliação de configurações (IAM, S3 permissions, Security Groups, logging). Um pentest cloud específico testa: misconfigurações exploitáveis, privilege escalation na IAM, exposição de metadata, e pivoting entre serviços. Custo: R$ 25.000–R$ 60.000 dependendo da profundidade.

Como justificar o custo de pentest para a diretoria?

Use a fórmula: (probabilidade de incidente × impacto financeiro médio) > custo do pentest. Para empresa com faturamento de R$ 20 milhões, um incidente de ransomware custa em média R$ 1,4 milhão (resgate + IR + LGPD + lucros cessantes). Probabilidade anual estimada: 15–20%. Valor em risco: R$ 210.000–R$ 280.000/ano. Custo do pentest: R$ 20.000–R$ 40.000. ROI é evidente. Adicione: pentest é exigência crescente de clientes enterprise e seguradoras — não fazer pode custar contratos.

Referências

Como a Decripte resolve isso

Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo.

Seu ambiente tem vulnerabilidades que um pentest encontraria? A Decripte oferece avaliação técnica inicial gratuita para mapear a superfície de ataque antes de você investir em um teste completo.

Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.