BlogNoticias

Inserido em: 25/06/2025

Como auditar a segurança com terceiros e o que o pentest revela na prática

Pentest

Se sua empresa compartilha dados com plataformas de terceiros, parceiros ou fornecedores, auditar a segurança deve ser parte da rotina. E uma das formas mais diretas de fazer isso é cobrando evidências de pentest — especialmente em sistemas SaaS, APIs e plataformas críticas.

Relatórios técnicos não bastam se não tiverem histórico, contexto e frequência. Um pentest isolado, entregue com data próxima da sua solicitação, deve levantar dúvidas. Afinal, a ISO 27001 recomenda testes recorrentes, no mínimo anuais, e que sejam acompanhados de políticas atualizadas de segurança e privacidade.

Como saber se o fornecedor leva segurança a sério e como o Pentest pode te ajudar?

A primeira dica é simples: nunca aceite apenas o relatório mais recente. Solicite os dois últimos pentests, para verificar se há continuidade e compromisso real com segurança. Se a empresa não tiver histórico, provavelmente está agindo apenas por exigência momentânea.

Além disso, avalie:

  • Se o teste foi feito por empresa externa e especializada;

  • Se o relatório inclui escopo, métodos, evidências e plano de correção;

  • Se há reteste documentado, mostrando que as falhas foram corrigidas.

 

Pentest e sua frequência: o que as normas sugerem?

Normas como a PCI-DSS exigem que pentests sejam realizados pelo menos uma vez por ano e sempre que houver modificações significativas em sistemas que possam impactar a segurança. Essa regra visa garantir que vulnerabilidades sejam identificadas e corrigidas antes que possam ser exploradas, especialmente em ambientes que lidam com dados financeiros sensíveis. Recentemente, ataques cibernéticos em estados como São Paulo e Rio de Janeiro evidenciaram a importância de manter testes frequentes para mitigar riscos, pois incidentes em plataformas críticas causaram interrupções e perdas significativas.

Empresas maduras já adotam modelos como o Pentest as a Service, que oferece retestes contínuos, visibilidade em tempo real e integração com equipes DevSecOps, elevando o nível de proteção e agilidade na resposta a vulnerabilidades.

E quanto às políticas?

Um pentest não tem efeito se a empresa não tiver políticas claras e atualizadas. A LGPD exige que operadores e controladores demonstrem medidas técnicas e organizacionais adequadas. Isso inclui:

  • Políticas de segurança e privacidade alinhadas às operações atuais;

  • Documentação de revisões e responsáveis por cada área;

  • Gestão de riscos integrada às decisões de negócio.

 

Use fatos para justificar a cobrança

Em 2025, diversos ataques ocorreram por falhas não corrigidas em tempo — inclusive em cidades como São José do Rio Preto, onde sistemas públicos ficaram fora do ar após um ataque em junho. Plataformas de suporte remoto também têm sido exploradas por grupos de ransomware. Isso mostra que exigir segurança não é excesso de zelo — é prevenção responsável.

Auditar parceiros, fornecedores e plataformas onde seus dados circulam é parte do seu dever como controlador ou empresa contratante. Solicite os dois últimos relatórios de pentest, analise políticas de segurança e desconfie de resultados feitos às pressas. Segurança verdadeira deixa rastro de consistência, não apenas de resposta rápida.

Se precisar de ajuda para analisar relatórios recebidos ou revisar os controles de segurança e privacidade de um parceiro, a equipe da L4SEC está pronta para apoiar.

Voltar

Compartilhe no WhatsApp
Desenvolvido por Across | Política de Privacidade | Empresa do Grupo Pierre Soluções