Seis capítulos cobrem 90% do que pedem para o estúdio. O resto resolvemos sob medida — alguns assuntos não cabem em índice impresso, e tudo bem.

Sumário · Volume 02
pp. 09–198

Sumário de serviços

Índice por capítulo

O que encontra aqui dentro

Cada capítulo é vendido inteiro — não cortamos a metade para baratear.

01.

Pentest e revisão de aplicação

Teste de intrusão em aplicações web, mobile e APIs internas, com revisão de código nos pontos críticos.

pp. 09
02.

Red team contínuo

Operações ofensivas de longo prazo, alinhadas ao apetite a risco do comitê.

pp. 41
03.

Resposta a incidentes e forense

Plantão 24/7, contenção, erradicação, narrativa para reguladores e ANPD.

pp. 73
04.

Arquitetura defensiva

Desenho de identidade, segmentação, secrets, criptografia em repouso e em trânsito.

pp. 103
05.

LGPD, DPIA e adequação setorial

Encarregado externo, programa de privacidade, base legal, comunicação com a ANPD.

pp. 137
06.

Segurança industrial (OT/ICS)

Chão de fábrica, infraestrutura crítica, segmentação Purdue e revisão de PLCs.

pp. 169

Capítulos detalhados

Em prosa, não em bullet

01 · ENTREGAS

Pentest de aplicação

Trabalho conduzido por dupla sênior, com escopo discutido antes da primeira requisição. Saímos com relatório técnico, sumário executivo de uma página e sessão de leitura com o time de produto.

  • Web, mobile (iOS, Android), APIs REST e gRPC
  • Threat modeling acoplado ao OWASP ASVS
  • Revisão de código nos endpoints críticos
  • Reteste incluso após correções
02 · OPERAÇÃO

Red team contínuo

Engajamento trimestral ou anual, com regras de engajamento escritas em conjunto. Objetivo declarado, narrativa documentada, transferência completa para o purple team interno ao fim de cada ciclo.

  • Cadência adaptada ao apetite de risco
  • Cenários inspirados em casos reais do setor
  • Purple team conjunto com o SOC interno
  • Métricas de detecção entregues por sprint
03 · PLANTÃO

Resposta a incidentes

Plantão 24/7 para clientes em sustentação. Chegamos em até quatro horas com analista sênior na ponta, conduzimos contenção, escrevemos a comunicação com a ANPD quando aplicável.

  • Retainer com SLA de quatro horas
  • Forense em endpoint, rede e nuvem
  • Comunicação com reguladores e jurídico
  • Pós-mortem técnico e organizacional
04 · DESENHO

Arquitetura Zero Trust

Desenho de identidade federada, segmentação por contexto, gestão de segredos e controles de criptografia. Entregamos os diagramas, as decisões registradas e a sequência de implantação por sprint.

  • Identidade humana e de máquina
  • Cobertura para AWS, GCP, Azure e on-premise
  • Diagramas C4 e decisões registradas em ADR
  • Roadmap por trimestre, sem big bang
05 · CONFORMIDADE

Programa LGPD

Encarregado externo (DPO), inventário de tratamentos, base legal por finalidade, DPIA nos fluxos sensíveis e gestão da relação com a ANPD. Trabalho coordenado com o jurídico interno do cliente.

  • Programa enxuto, sem teatro de compliance
  • Resposta a titular dentro do prazo legal
  • DPIA setorial (saúde, financeiro, RH)
  • Treinamento operacional para os times
06 · INDÚSTRIA

Segurança OT/ICS

Trabalho de chão de fábrica conduzido com botina e capacete. Avaliação sem interromper produção, segmentação por modelo Purdue, hardening de PLCs e HMIs, treinamento dos operadores.

  • IEC 62443 como referência setorial
  • Avaliação passiva, sem ativos de rede
  • Plano de continuidade e recuperação
  • Auditoria de fornecedores e integradoras

A gente não tem pacote prateado, dourado e diamante. Tem o capítulo que você precisa, na cadência que o seu time aguenta ler.

Helena Vasques

Apêndice · Dúvidas frequentes

Antes que pergunte

Q. 01

Vocês atendem só São Paulo?

Trabalhamos remotamente em todo o território brasileiro. Para engajamentos com chão de fábrica ou data center próprio, deslocamos a equipe presencial em capitais e principais polos industriais. A sede fica em São Paulo, mas o time vive espalhado por quatro cidades.

p. 191
Q. 02

Como se compara com um SOC terceirizado?

Somos complementares, não substitutos. Estúdio é bom para construir o programa, fazer o engajamento ofensivo e escrever as detecções; SOC é melhor para operar 24/7 a vigilância. Em vários clientes, escrevemos as detecções que o SOC contratado depois monitora.

p. 192
Q. 03

Atendem empresas pequenas?

Atendemos a partir de operações com cerca de cinquenta colaboradores ou que tenham dado sensível em volume. Abaixo disso, geralmente recomendamos uma combinação de ferramentas gerenciadas e uma consultoria pontual; podemos indicar parceiros se for o caso.

p. 193
Q. 04

Como funcionam os preços?

Trabalhamos com escopo fechado para engajamentos definidos (pentest, DPIA, desenho de arquitetura) e com retainer mensal para sustentação e plantão de incidentes. A proposta é entregue em até cinco dias úteis após a leitura inicial do cenário.

p. 194
Q. 05

O relatório é assinado por profissional habilitado?

Sim. Cada entrega tem nome, cargo e certificação da pessoa responsável. Em casos cíveis ou trabalhistas, Bruno Andrade atua como perito assistente, com inscrição ativa em conselhos de classe.

p. 195
Q. 06

E se o nosso fornecedor de software for o problema?

Avaliamos toda a cadeia, inclusive integradores e SaaS terceiros. Quando o problema está fora do seu perímetro, ajudamos a redigir o pedido formal ao fornecedor, com o vocabulário técnico que ele entende — e o contratual que o jurídico aceita.

p. 196

Última página do sumário —

Qual capítulo abre primeiro?

Conte o cenário, anexe a parte da arquitetura que mais te tira o sono, e respondemos com uma proposta enxuta em cinco dias úteis.

Enviar o briefing