Perguntas frequentes

Última atualização: 23 de abril de 2026

• O que está incluído nos R$5.000?

  Um pentest completo em pacote único: relatório técnico com CVEs, CWEs e evidências de exploração; relatório executivo em PT-BR pensado para gestão; atestado formal de pentest assinado pela WiserSecurity; reteste pós-remediação dentro de 30 dias; call de walkthrough de 30 minutos com o analista responsável; plano de remediação priorizado por severidade. Nada é cobrado à parte. Impostos, reteste e atestado já estão no preço. Pagamento é integral antes do início da execução, via PIX, boleto ou transferência.

• Qual o prazo exato e o que acontece se atrasar?

  Até 10 dias corridos a partir da confirmação do escopo, contando final de semana. O cronograma típico: dia 1 e 2 para validação do escopo pelo analista WiserSecurity, dia 3 a 8 para execução híbrida (IA no trabalho mecânico, analista validando achados de alto impacto), dia 9 e 10 para consolidar relatório e emitir o atestado. Se atrasarmos por qualquer motivo do nosso lado, o reteste e o atestado saem sem custo adicional. Atrasos causados pelo cliente (credenciais pendentes, janela de teste bloqueada, firewall) pausam o cronograma.

• O atestado de pentest serve para compliance LGPD, SOC2, ISO 27001 ou PCI-DSS?

  Sim. O atestado documenta período de execução, escopo testado, metodologias aplicadas (OWASP Top 10, OWASP API Security Top 10, PTES, NIST SP 800-115) e é assinado pela WiserSecurity, com CNPJ e responsável técnico identificado. É aceito em auditorias LGPD, SOC2, ISO 27001 e PCI-DSS como evidência de avaliação técnica, e também em processos de due diligence de clientes e investidores. O relatório executivo acompanha o atestado e é escrito para quem assina o contrato, não só para o time técnico.

• Como funciona o reteste incluso? Quantas vezes? Qual a janela?

  Um reteste, focado nas vulnerabilidades reportadas no primeiro ciclo, dentro de 30 dias corridos após a entrega do relatório. O escopo do reteste é o conjunto de findings originais: confirmamos se cada vulnerabilidade foi corrigida e geramos um relatório de diferenças. Se todos os achados críticos e altos foram tratados, emitimos um atestado de reteste complementar. Novas superfícies ou features adicionadas depois do primeiro teste exigem novo contrato. Sem isso, perdemos foco e comparabilidade entre os dois ciclos.

• Vocês usam IA para quê? Humano para quê?

  A IA generativa executa o trabalho exaustivo: reconhecimento ativo e passivo, varredura de portas, fuzzing de parâmetros, correlação de CVEs contra o inventário identificado, triagem inicial por severidade, redação de seções descritivas padrão do relatório. Nossos analistas WiserSecurity atuam onde exige julgamento: validação de exploitabilidade real, teste de lógica de negócio sensível (pagamento, autorização entre tenants, escalada de privilégio), revisão e conclusões do relatório, assinatura do atestado. Todo achado crítico ou alto passa por revisão humana antes de ser marcado como confirmado.

• Que tipos de sistema vocês testam?

  Foco em aplicações web e APIs REST ou GraphQL, single tenant ou multi-tenant, autenticadas ou públicas. Aplicações mobile e partes de infraestrutura podem entrar dependendo do escopo, negociadas antes da confirmação. Fora do escopo do PentestAI: pesquisa de zero-days novos, red team multi-semana, auditoria PCI-DSS nível 1 completa, engenharia reversa profunda de binários. Para esses casos, o pentest tradicional da WiserSecurity é o caminho. O alvo ideal para o PentestAI é uma aplicação web ou API de porte médio, com documentação mínima e credenciais de teste disponíveis.

• E se o escopo for muito grande para 10 dias?

  A validação do escopo é a primeira coisa que o analista WiserSecurity faz, antes de qualquer pagamento. Se não couber em 10 dias, três caminhos: recortamos para o módulo mais crítico do alvo, dividimos em múltiplos PentestAI (cada um com atestado próprio), ou direcionamos para o pentest tradicional da WiserSecurity. A decisão fica com você. Se confirmamos que cabe e depois descobrimos que subestimamos, seguimos no prazo combinado e sinalizamos explicitamente no relatório o que ficou fora por restrição de tempo.

• Vocês emitem NF? Como funciona o pagamento?

  Sim, emitimos NFS-e pela WiserSecurity. Pagamento integral antes do início da execução, via PIX, boleto bancário ou transferência, o que for mais prático para o seu financeiro. Não há parcelamento nem pagamento pós-entrega neste formato. Parte do que viabiliza o preço fixo é o ciclo curto de cobrança. A nota fiscal é emitida no ato da confirmação do pagamento. Empresas com processo formal de procurement podem pedir proposta comercial e SOW assinados antes do pagamento.

• Posso contratar mais de um PentestAI para aplicações diferentes?

  Sim. Cada aplicação vira um contrato independente, com escopo próprio, relatório próprio, atestado próprio e reteste próprio. Alguns clientes contratam dois ou três PentestAI no mesmo trimestre, um por sistema crítico. Para empresas com pipeline contínuo e necessidade recorrente de pentest, vale conversar sobre pacote anual com desconto progressivo e SLA diferenciado. Escreva com o escopo estimado para os próximos 12 meses e retornamos com proposta. Pentests concorrentes (rodando em paralelo) são tratados por equipes distintas, para evitar viés entre alvos.

• Quais ferramentas específicas vocês usam?

  Toolchain padrão da indústria: Burp Suite Professional para testes ativos de aplicações web, nmap para descoberta de rede, Nessus e Nuclei para varredura autenticada e não autenticada, sqlmap para validação de SQL injection, ffuf e wfuzz para fuzzing de parâmetros, trufflehog para detecção de secrets expostos. Em cima dessa base, rodamos automação interna com IA generativa para correlação de CVEs contra o inventário identificado, triagem de findings por severidade e redação de seções padrão do relatório. A escolha da ferramenta é feita pelo analista conforme a superfície do alvo.

• Vocês assinam NDA?

  Sim. Assinamos NDA antes de receber qualquer informação sensível sobre o escopo: URLs internas, diagramas de arquitetura, credenciais de teste. Aceitamos o modelo de NDA da sua empresa, ou fornecemos o nosso padrão via assinatura eletrônica. O NDA cobre tanto a fase pré-contratação (conversas de escopo) quanto a execução do pentest e a entrega do relatório. Achados críticos só saem da equipe designada com sua autorização explícita.

• O relatório e o atestado podem ser compartilhados com clientes/investidores?

  Sim, o atestado foi pensado para isso. Pode ser compartilhado com clientes, investidores e auditores, porque não revela detalhe técnico das vulnerabilidades: documenta apenas período, escopo, metodologias e assinatura da WiserSecurity. O relatório técnico contém passos de reprodução, payloads e evidências sensíveis, então é confidencial por padrão, e você decide caso a caso se compartilha. O relatório executivo fica no meio: descreve impacto e remediação em linguagem de gestão, sem expor detalhe operacional, e costuma ser compartilhado com stakeholders internos.

• Qual a diferença entre PentestAI e o pentest tradicional da WiserSecurity?

  O PentestAI é um produto padronizado: preço e prazo fixos pré-contratação, escopo enxuto (aplicação web ou API de porte médio), entrega em até 10 dias. O pentest tradicional é sob medida: duração de 3 a 6 semanas, análise manual profunda de lógica de negócio, cenários multi-etapa e, quando o alvo exige, pesquisa original. As duas modalidades seguem as mesmas metodologias (OWASP, PTES, NIST SP 800-115) e são executadas pela mesma equipe WiserSecurity. A diferença está em profundidade, amplitude e custo: o tradicional fica entre R$30.000 e R$150.000 em média, sob proposta. Use o PentestAI quando o objetivo é insumo rápido e formal. Use o tradicional quando risco ou compliance exigem investigação profunda.