Quatro frentes. Uma equipe. Nenhuma camada terceirizada.
Cada serviço aqui é operado pelos mesmos sete engenheiros que assinam os relatórios. Não revendemos terceiros, não passamos clientes adiante.
Resposta a incidentes
Quando o incidente acontece — e em algum momento acontece — o que define o resultado é a primeira hora. Operamos plantão 24×7 a partir do escritório em São Paulo, com tempo médio de contenção registrado em 30 minutos durante os últimos doze meses.
O serviço inclui contrato de retainer mensal (com horas de plantão dimensionadas pela sua superfície), playbook escrito sob medida, exercício trimestral de simulação e — quando o caso exigir — o suporte completo para a notificação à ANPD dentro do prazo legal.
Encerramos cada incidente com pós-mortem escrito por quem operou, não por um redator que ouviu falar. Esse documento entra no programa de melhoria contínua da sua operação.
Hardening em nuvem
A maioria dos comprometimentos sérios que respondemos começou com uma configuração esquecida em produção: bucket aberto, IAM excessivamente permissivo, segredo no repositório público. Hardening não é trabalho heróico; é disciplina contínua.
Operamos revisão profunda de AWS, GCP e Azure, com baseline próprio construído ao longo de nove anos. Mapeamos a superfície exposta, classificamos por risco de negócio e corrigimos em pares com seu time de plataforma — sem deixar a operação dependente de uma única pessoa.
O entregável é um ambiente observável: cada controle implantado tem dono nomeado, regra de detecção associada e métrica no painel.
Pentest ofensivo
Pentest de catálogo já não cabe na realidade brasileira. Conduzimos simulações adversárias com escopo realista — aplicação web, mobile, API e infraestrutura corporativa — emulando os atores que efetivamente miram operações do seu setor.
Entregamos cadeia de exploração reproduzível, com evidência técnica e narrativa executiva paralelas. Cada achado vem com correção priorizada por impacto de negócio e responsável sugerido — não com a frase genérica "aplicar princípio do menor privilégio".
O serviço cobre engajamentos pontuais e programas continuados de adversary simulation, com janelas trimestrais e retrospectiva conjunta.
Governança & LGPD
Adequação à LGPD não é checklist preenchido por estagiário. É decisão de negócio sobre quais dados a operação precisa processar, como vai protegê-los e quem responde quando algo der errado. Estruturamos o programa para sustentar fiscalização da ANPD — não apenas para tirar o assunto da pauta.
O escopo inclui mapeamento completo de tratamentos, relatório de impacto (RIPD) onde aplicável, revisão de contratos de operador, processo de atendimento a titulares e suporte ao DPO interno (ou atuação como DPO terceirizada, quando o porte da operação justifica).
Trabalhamos com ISO 27701 como referência quando o cliente busca certificação. Quando não busca, mantemos o programa enxuto e auditável mesmo assim.
Existe segurança operada por gente que sabe o nome dos seus servidores — e existe segurança vendida por catálogo. São coisas diferentes.
Perguntas frequentes
Como funciona o retainer de resposta a incidentes?
É um contrato anual com horas de plantão dimensionadas pela superfície da sua operação. Inclui playbook escrito, simulações trimestrais e atendimento 24×7 a partir de São Paulo. Horas não utilizadas em um mês acumulam até o trimestre seguinte.
Atendem operações fora de São Paulo?
Sim. A equipe é presencial em São Paulo, mas operamos remoto para clientes em todo o território nacional. Para operações críticas em outras praças, deslocamos um sócio para o local quando necessário, sem custo adicional dentro do contrato.
Qual é o porte mínimo de operação que vocês atendem?
Não há mínimo formal. Trabalhamos com fintechs em estágio inicial e com operações enterprise. O que avaliamos é maturidade: clientes que entendem que segurança é processo, não compra única, costumam fazer caber o orçamento.
Como se compara contratar vocês versus montar SOC interno?
Depende do tamanho. Operações com menos de 800 colaboradores raramente justificam SOC interno — o custo de manter três turnos com retenção é alto. Acima disso, nossa indicação costuma ser híbrida: SOC interno operacional, nossa equipe como camada de resposta e auditoria independente.
Vocês atuam em conformidade com a LGPD diretamente?
Sim. Priscila Antunes, sócia responsável pela frente, atua como DPO terceirizada para sete clientes ativos. Conduzimos mapeamento completo, RIPD, revisão contratual e atendimento a titulares, em coordenação com a área jurídica interna do cliente.
Como é cobrado o pentest?
Por escopo definido em conjunto, em formato de projeto fechado. Após a primeira reunião técnica, devolvemos proposta com janela de execução, cobertura, perfil de adversário simulado e estimativa de severidade esperada. Não cobramos por achado nem por hora trabalhada.
Recebem auditoria externa do trabalho?
Recebemos com frequência — em geral, dentro de processos de due diligence ou certificação ISO. Disponibilizamos relatórios, procedimentos internos e logs de operação conforme escopo combinado. A operação foi desenhada para suportar esse tipo de escrutínio.