// guia para gestor público · ~14 min
Licitação Pública de Pentest: Como Elaborar TR, Critérios Técnicos e Armadilhas Comuns
TR mal elaborado favorece scan-vendor barato e exclui pentest sério. Esse guia detalha cláusulas técnicas a colocar no Termo de Referência, critérios de avaliação que separam fornecedor commodity de pentest manual real, e as armadilhas mais comuns que custam à administração pública o que é pago em qualidade.
Time fixo no contrato
TR deve exigir nominalmente os profissionais alocados, com vedação à substituição sem aprovação. Sem isso, vendedora ganha e júnior executa.
% manual mínima
Cláusula técnica obrigatória: "execução manual ≥ 80% do esforço, comprovada por log de atividade do pentester". Sem isso, scanner ganha disfarçado.
Estrutura de relatório
Páginas mínimas, PoC obrigatório, CVSS justificado, mapeamento normativo. Sem TR especificando, vencedor entrega 20 páginas de scan output.
Modelo de TR para pentest — checklist de cláusulas
1. Escopo técnico
- Listagem nominal de ativos (IPs, domínios, aplicações, ranges de rede);
- Profundidade autorizada (black/grey/white box, com ou sem credencial);
- Authorization to Test como entregável obrigatório do pre-engagement;
- Janelas autorizadas e janelas vedadas (sistemas críticos);
- Regras de DoS (proibido por padrão, autorizado caso a caso);
- Escopo de Post-Exploitation (lateral movement, persistência, exfiltração simulada).
2. Metodologia exigida
- PTES — todas as 7 fases documentadas como entregáveis intermediários;
- OWASP Testing Guide v4.2 para web e mobile (MASVS);
- NIST SP 800-115 — referência metodológica;
- MITRE ATT&CK para mapeamento de TTPs em Post-Exploitation;
- Para OT/SCADA: IEC 62443 e NIST SP 800-82.
3. Certificações mínimas do time alocado
- OSCP — mínimo 1 pentester por engajamento (justificativa: hands-on validation reconhecida internacionalmente);
- CISSP — mínimo 1 lead/coordenador (justificativa: governance + risk management);
- CRTO ou GPEN — para engajamentos com Red Team;
- CompTIA PenTest+ ou CEH — complementares;
- Para ISO 27001 consultoria: ISO 27001 Lead Auditor.
Justifique cada certificação no TR — caso contrário, fornecedor argumenta restrição à competitividade. A justificativa cita: complexidade técnica, risco operacional, conformidade normativa, padrão de mercado.
4. Critérios de qualificação técnica
- Atestados de capacidade técnica (mínimo 3, em órgãos públicos OU empresas privadas reguladas — banco, telecom, energia, saúde);
- Comprovação de no mínimo X pentests concluídos nos últimos 24 meses;
- Para Red Team: comprovação de no mínimo Y engajamentos com objetivo definido em ambientes regulados;
- Para OT/SCADA: comprovação em ambiente industrial real.
5. Estrutura mínima de relatório
Cláusula essencial (eixo Relatórios Minificados):
- Mínimo 80 páginas em pentest web app médio;
- Mínimo 1 PoC reproduzível por finding;
- CVSS justificado (vetor base + temporal + ambiental, não apenas score);
- Business impact contextualizado para o órgão;
- Mapeamento explícito para LGPD/ISO 27001/PTES/OWASP;
- Recomendação técnica priorizada com rota de correção;
- Apresentação executiva opcional para colegiado;
- Reteste incluso — mínimo 1x dentro de 90 dias.
6. SLA e cláusulas operacionais
- Janela de início após assinatura: 1-3 semanas;
- Janela de execução comunicada com 5 dias úteis de antecedência;
- Comunicação de finding crítico em tempo real (não esperar relatório);
- Sigilo: NDA reforçado, comunicação cifrada, retenção zero pós-90 dias com comprovante de descarte;
- Cadeia de custódia: hash SHA-256 por evidência, log de operador.
Armadilhas comuns em TR (e como evitar)
- Não exigir % de execução manual — vencedor entrega scan automatizado disfarçado;
- Aceitar entregável em formato resumido — relatório de 20 páginas vira regra;
- Não pedir PoC reproduzível — finding fica genérico, órgão não consegue corrigir;
- Não exigir certificações nominais — terceirização para "parceiros não declarados";
- Aceitar substituição livre de profissionais — quem ganha não é quem executa;
- Sem cláusula de retest — correção fica sem validação;
- Sem mapeamento normativo — relatório não serve para auditoria TCU/CGU.
Como avaliar tecnicamente as propostas
Rubrica sugerida (pesos ajustáveis conforme NRG):
- Capacidade técnica (peso 35%) — atestados + experiência + setor;
- Certificações nominais do time (peso 20%) — OSCP/CISSP/CRTO/GPEN documentados;
- Metodologia proposta (peso 20%) — aderência a PTES/OWASP/NIST;
- Estrutura de relatório (peso 15%) — modelo apresentado, páginas, PoC, mapeamento;
- Cronograma (peso 5%) — coerência com escopo;
- Preço (peso 5%) — apenas após aprovação técnica.
Por que MSSPs grandes nem sempre vencem em pentest
Em licitação de serviço de TI generalista, MSSP com pegada larga vence porque cobre vários itens. Em licitação de pentest específica, vence quem tem time fixo certificado e relatório auditável — combinação que boutique técnica entrega melhor que integradora. O critério "quem ganha é quem executa" elimina a maior parte dos vendedores comodity de saída.
TR ruim × TR sério
FAQ
Vocês têm CRC?
Sim. Cadastro mantido em órgãos federais e estaduais. Habilitação completa.
Vocês participam de pregão eletrônico?
Sim. ComprasNet, BEC-SP, Licitações-e, BB-Compras e plataformas estaduais/municipais. Atendemos modalidade pregão para serviços comuns conforme Lei 14.133/2021.
Aceitam dispensa de licitação?
Sim, dentro do limite art. 75 da Lei 14.133/2021. Detalhe em /pentest-para-governo/.
Qual o ME/EPP de vocês?
Não somos ME/EPP — somos sociedade empresária regular. Para órgãos com obrigatoriedade de tratamento diferenciado, atuamos via consórcio com parceiros qualificados quando aplicável.
Vocês entram como subcontratada?
Sim, em casos específicos com integradora vencedora. Mantemos NDA, retenção zero pós-90 dias e relatório direto ao órgão.
Atendem inexigibilidade?
Em casos com objeto tecnicamente singular (Red Team com TTPs específicos, OT/SCADA crítico), inexigibilidade Lei 14.133/2021 art. 74 é viável. Documentamos justificativa técnica.