Quanto custa um pentest no Brasil em 2026: faixas de preço, formatos e sinais de proposta ruim
Publicado em 23 de abril de 2026 · 12 min de leitura
Esta página ajuda comprador de segurança a entender por que uma proposta vem por R$3 mil e outra por R$80 mil para o que parece ser o mesmo serviço. A resposta curta é que não é o mesmo serviço. A resposta longa envolve escopo, profundidade, metodologia, atestado, equipe, janela de execução e o que de fato acontece em cada formato.
O público aqui é CTO, head de engenharia, head de segurança, DPO ou responsável por compliance que precisa contratar avaliação técnica e quer decidir com clareza. Vamos aos quatro formatos, aos fatores de preço, aos sinais de proposta ruim, à tabela comparativa e ao checklist de contratação.
1. Os quatro formatos de pentest no Brasil
Vulnerability scan
É uma varredura automatizada executada por ferramentas como Nessus, Qualys, OpenVAS ou Nuclei. Em horas, produz uma lista de vulnerabilidades potenciais com score CVSS. É barato (R$300 a R$3.000 por execução), rápido e repetível. Serve para higiene contínua: detectar versões com CVE conhecido, portas abertas inesperadas, certificados vencidos, configurações frouxas.
O que scan não faz: validar exploitabilidade, descobrir vulnerabilidades de lógica de negócio, produzir atestado formal aceito em auditoria, correlacionar achados em exploit chain. O resultado típico de um scan tem centenas de itens, dos quais apenas uma fração pequena representa risco real explorável. Tratar scan como pentest é um erro comum e caro: atestados derivados de scan não sobrevivem a due diligence enterprise.
Pentest padronizado
É o formato que o PentestAI representa: preço fixo, prazo fixo, escopo enxuto (uma aplicação web ou API REST/GraphQL de porte médio), combinando IA generativa no trabalho mecânico com validação humana nos achados críticos. Entrega relatório técnico, relatório executivo, atestado formal e reteste. Preço típico no mercado brasileiro: R$3 mil a R$8 mil, com prazo de 7 a 15 dias.
Viabiliza preço baixo porque o escopo é estreito e o trabalho padronizado. Não substitui pentest tradicional em ambientes regulados de alto risco, mas cobre bem a maioria das B2B SaaS, fintechs de porte médio, healthtechs que precisam do atestado formal para compliance LGPD, SOC 2, ISO 27001 ou PCI-DSS não nível 1.
Pentest tradicional sob medida
É o formato clássico: engajamento customizado, conduzido por analistas seniores, duração de 3 a 6 semanas, com análise manual profunda de lógica de negócio, cenários multi-etapa, construção de exploits sob medida, eventualmente pesquisa original. Preço típico entre R$20 mil e R$150 mil, dependendo do porte da aplicação e da profundidade requerida.
Indicado para aplicações críticas, ambientes com alta complexidade (sistema bancário core, ERP corporativo de grande porte, plataforma de saúde com dados sensíveis), compliance exigente (PCI-DSS nível 1 completo, auditoria SOC 2 Type II com períodos de evidência longos), ou cenários de due diligence pesada em rodadas de investimento.
Red team
É simulação adversarial de longa duração com objetivos específicos (exfiltrar base X, obter acesso ao sistema Y via cadeia técnica mais social, demonstrar privilege escalation até domínio). Inclui evasão ativa do blue team, uso de infraestrutura dedicada, pretextos sociais. Duração de 2 a 6 meses. Preço entre R$80 mil e R$500 mil para escopos completos, podendo passar disso em organizações muito grandes.
Red team não é "pentest caro". É outro produto. O objetivo não é listar vulnerabilidades: é testar maturidade de detecção e resposta, exercitar processo de incident response, validar se o SOC reage quando o ataque está rodando. Só faz sentido em organização com time de segurança interno maduro.
2. O que faz o preço variar
Dentro do mesmo formato, duas propostas podem variar 3 a 5 vezes de preço por causa de combinação de fatores. Os principais:
- Tamanho do escopo: número de domínios, APIs expostas, endpoints únicos, tenants a testar, idiomas suportados. Cada dobra do escopo costuma dobrar o preço.
- Complexidade da lógica de negócio: fluxos de pagamento, autorização multi-tenant, workflows de aprovação multi-etapa, estados ocultos. Lógica pesada exige testes manuais que só analista sênior faz.
- Tipo de teste: black box (sem informação), gray box (credenciais limitadas), white box (credenciais admin). Gray e white são mais caros porque exigem cobertura mais ampla.
- Profundidade esperada: validação básica de OWASP Top 10 versus engenharia reversa de protocolo proprietário. A segunda opção é ordens de grandeza mais cara.
- Janela de execução: horário comercial é padrão. Testes em janela noturna ou fim de semana, ou com necessidade de coordenação com blue team, custam mais.
- Compliance específico: PCI-DSS tem requisitos que obrigam segmentação, checklist extenso, coleta de evidências específica. ISO 27001 e SOC 2 são menos prescritivos.
- Senioridade da equipe: pentest feito por analista com 10+ anos de experiência custa 3 a 5 vezes mais que o feito por analista pleno. Em casos complexos, vale a diferença.
- Urgência: prazo comprimido (contratar pentest para fechar auditoria na próxima semana) carrega prêmio de urgência, entre 30% e 100% acima do preço padrão.
- Localização da equipe: equipe no exterior (EUA ou Europa) cobra em dólar ou euro, o que inflaciona o equivalente em real. Equipe brasileira de porte similar costuma ser entre 30% e 60% mais barata.
3. Por que R$3 mil e R$100 mil existem no mesmo mercado
Um dos enganos mais comuns é achar que pentest de R$100 mil é o de R$10 mil "com mais margem". Não é. São produtos diferentes entregando coisas diferentes.
Um pentest de R$3 mil no mercado brasileiro normalmente é um scan automatizado com validação manual mínima, em escopo apertado, sem atestado aceitável ou com atestado genérico. É útil para higiene interna, não para demonstrar conformidade em auditoria externa.
Um pentest padronizado como o PentestAI, na casa dos R$5 mil, cobre uma aplicação web ou API de porte médio com exploração real, validação humana nos findings críticos e atestado formal. O preço viabiliza o formato, não compromete a qualidade dentro do escopo combinado.
Um pentest manual de R$15 mil a R$30 mil cobre uma aplicação de porte maior, com mais endpoints, tenants, ou lógica de negócio moderada. Analista dedica 2 a 3 semanas, profundidade manual aumenta consideravelmente.
Um pentest de R$50 mil a R$100 mil cobre ambiente com múltiplas aplicações integradas, lógica de negócio complexa, cenários multi-etapa, análise de protocolos proprietários. Dura 4 a 6 semanas, executado por equipe sênior.
Acima de R$100 mil entra-se no território de engajamentos enterprise, red team ou compliance PCI-DSS nível 1 completo. O custo reflete tamanho do time, duração, profundidade e especialização da equipe (engenheiros reversos, especialistas em cloud, kernel, mobile).
O caminho prático é dimensionar o próprio escopo antes de pedir cotação. Proposta sob medida para um escopo que cabe num formato padronizado paga pelo trabalho custom que você não precisava. Inversamente, usar formato padronizado para escopo que não cabe nele gera atestado com muitas limitações registradas, menos útil em auditoria.
4. Sinais de proposta ruim
Depois de ler muitas propostas, os padrões de proposta fraca repetem. Sinais que levantam bandeira:
- Preço sem escopo detalhado. "Pentest da aplicação X por R$4.500" sem detalhar URLs, credenciais, janela. A vagueza favorece o fornecedor: ele entrega o que quiser e você não tem contrato para exigir o que faltou.
- "Atestado" genérico. Documento de uma página dizendo "a aplicação foi testada e está segura", sem período, sem escopo, sem metodologia, sem responsável técnico. Esse atestado não sobrevive à primeira due diligence séria. O comprador percebe.
- Prazo desproporcional. Pentest manual de múltiplos sistemas em 3 dias não existe. Ou o trabalho é raso, ou a equipe fantasma. Desconfie tanto de prazo longuíssimo (vende horas) quanto de prazo impossível (vende fumaça).
- Silêncio sobre metodologia. Proposta que não cita OWASP Top 10, OWASP API, PTES ou NIST SP 800-115 em algum momento é proposta que não tem metodologia. Auditor vai cobrar isso no dia da entrega, não antes.
- Promessa de zero falso positivo. Zero falso positivo não existe em pentest honesto. Triagem faz parte do ofício. Quem promete isso está escondendo algo.
- Ausência de responsável técnico nomeado. O atestado deve identificar o analista responsável. Proposta sem essa informação é proposta que vai entregar atestado anônimo.
- Preço muito baixo para escopo muito grande. Se a conta não fecha entre horas de trabalho, complexidade e preço, o pentest não vai acontecer como descrito. Alguém vai cortar caminho.
- Insistência em retainer sem pentest pontual.Pacotes anuais com pentest "incluso" costumam empacotar um scan como atestado mensal. O cliente sai achando que tem cobertura; não tem.
5. Tabela comparativa
| Formato | Preço típico | Prazo | Profundidade | Atestado aceito em auditoria |
|---|---|---|---|---|
| Scan | R$300 a R$3 mil | Horas | Lista automática de CVE/CVSS, sem validação | Não |
| Pentest padronizado (PentestAI) | R$5 mil fixos | 10 dias | IA no mecânico, analista validando crítico | Sim (LGPD, SOC 2, ISO 27001, PCI-DSS não N1) |
| Pentest médio | R$15 mil a R$30 mil | 2 a 3 semanas | Análise manual moderada, múltiplos sistemas | Sim, com detalhamento maior |
| Pentest tradicional | R$30 mil a R$150 mil | 3 a 6 semanas | Análise manual profunda, exploit chain, lógica de negócio | Sim, inclusive PCI-DSS N1 completo |
| Red team | R$80 mil a R$500 mil+ | 2 a 6 meses | Simulação adversarial, evasão de blue team, multi-sistema | Varia (foco é maturidade, não atestado) |
Preços são referências do mercado brasileiro em 2026. Regiões, equipes com especialização rara (ICS/SCADA, cloud native profundo, protocolos financeiros) podem cobrar fora desse intervalo.
6. Como dimensionar o próprio escopo
Fornecedor sério pede essa informação de qualquer jeito. Você pode antecipar e usar como instrumento de comparação entre propostas:
- Inventário de superfícies. Todas as URLs, APIs REST e GraphQL, domínios e subdomínios que você quer testar. Anote versão e ambiente (produção, staging). Dois ambientes diferentes não somam como um escopo; somam como dois.
- Ativo crítico. Qual dado ou funcionalidade, se comprometida, causaria o maior dano? Base de clientes, fluxo de pagamento, acesso administrativo, segredos de API. O pentest deve concentrar esforço nesse ponto.
- Motivação. Compliance? Due diligence? Reação a incidente? Cliente enterprise pediu? A motivação molda o formato ideal. Atestado formal é essencial para compliance e due diligence. Para correção interna, scan mais bom review de código pode ser suficiente.
- Custo de não ter. Perda de contrato enterprise que você está prospectando, risco de multa LGPD, probabilidade de incidente com base de clientes relevante. Quanto maior esse número, mais sentido faz gastar em pentest adequado.
- Janela e restrições. Pode rodar em horário comercial? Tem ambiente de homologação estável? Alguém libera firewall para a equipe de teste? Credenciais de teste disponíveis? Quanto mais atrito nesses itens, maior o preço.
7. Quando pagar mais vale a pena
A regra heurística simples: se o ativo crítico vale pelo menos dez vezes o valor do pentest, o investimento se paga em um único incidente evitado. Se o ativo vale menos que isso, um formato mais simples é provavelmente o certo.
Cenários onde formato mais caro é justificado:
- Fintech com operação sob BACEN (Resolução 4.893/2021 estabelece requisitos de segurança cibernética que implicam avaliação periódica de profundidade razoável).
- Processadora de pagamento buscando PCI-DSS nível 1, que exige escopo documentado conforme a norma.
- Plataforma de saúde sob regulação ANS, com dados sensíveis em categoria especial da LGPD (Art. 11).
- Empresa em processo de M&A, em que o pentest é pedido pelo comprador como parte da due diligence técnica. Saída barata aqui custa o deal.
- Plataforma crítica para o negócio principal do cliente, em que incidente de segurança geraria perda de clientes e dano reputacional quantificável em milhões.
8. Checklist antes de contratar
Antes de assinar, confira:
- Escopo por escrito. URLs específicas, período da execução, credenciais fornecidas, janela autorizada. Nada verbal.
- Metodologia citada. A proposta deve dizer quais standards serão aplicados (OWASP Top 10, OWASP API Security Top 10, PTES, NIST SP 800-115). Se não cita, pergunte.
- Responsável técnico identificado. Nome, cargo, certificações. Se a equipe muda durante a execução, você deve ser avisado.
- Reteste incluso ou precificado. Correção gera dúvida: o fix funcionou? Reteste valida. Deve estar no pacote ou ter preço claro.
- Modelo de atestado. Peça para ver um exemplar de atestado anterior (anonimizado) antes de fechar. Formato importa tanto quanto o teste em si.
- Critério de severidade. CVSS 3.1 é o padrão. Fornecedor que usa escala proprietária ("risco alto" sem critério quantitativo) está pedindo margem de interpretação.
- Confidencialidade. NDA assinado antes de compartilhar escopo sensível. Confirme por escrito que o relatório não será usado como material de marketing.
- Cronograma detalhado. Quando começa, quando termina, quando são os checkpoints intermediários. Isso protege ambos os lados.
- Comunicação para achado crítico. O que acontece se encontrarmos vulnerabilidade crítica na sexta-feira à noite? Canal e prazo de notificação devem estar combinados.
Próximos passos
Se você chegou aqui, provavelmente tem três questões abertas: qual formato se aplica, quanto custa efetivamente e quem contratar. Um caminho comum.
- Se o escopo é uma aplicação web ou API de porte médio e você precisa do atestado formal para LGPD, SOC 2 ou ISO 27001, o PentestAI by WiserSecurity resolve em 10 dias por R$5 mil fixos. Veja o guia de pentest e LGPD para entender como o atestado é usado em auditoria.
- Se o escopo é maior ou envolve lógica de negócio complexa, múltiplos sistemas ou compliance PCI-DSS nível 1 completo, o pentest tradicional da WiserSecurity é o formato certo. Escreva descrevendo o alvo e retornamos com proposta dimensionada.
- Se você ainda está em fase de descoberta interna de vulnerabilidades, sem necessidade imediata de atestado, um scan automatizado mais revisão interna de código pode ser suficiente por um ciclo ou dois, até a exigência do atestado chegar.
Para começar, envie o escopo para a WiserSecurity. Retornamos em 24 horas úteis com avaliação de viabilidade e caminho indicado, sem custo e sem compromisso.