// setor público · ~12 min

Pentest para Governo: Conformidade, Cadeia de Custódia e Relatório Aceito por Auditoria

Pentest em órgão público tem três restrições que pentest corporativo não tem: cadeia de custódia rastreável de quem acessou o quê e quando, relatório aceito por auditor de TCU/CGU, e conformidade com legislação aplicável (LGPD setor público, Decreto 9.637/2018, IN GSI/PR 1/2020). Esta página detalha como atendemos essas três restrições e por que MSSP grande nem sempre é a melhor escolha — o argumento de rotatividade pesa mais aqui.

⟳

Time fixo

Cadeia de custódia exige rastreabilidade: quem acessou, quando, com qual credencial. Time fixo preserva esse histórico. Time rotativo o destrói.

⌘

90% manual

Sistemas de gov.br, SEFAZ, sistemas finalísticos têm lógica de negócio única. Scanner padrão não cobre — exige análise manual com olhar clínico.

▤

Relatório auditável

80–150 páginas, mapeamento explícito para PTES + LGPD setor público + ENS + Decreto 9.637. Aceito por TCU/CGU/ANPD.

Por que MSSP grande nem sempre é a melhor escolha para gov

MSSPs com operação de larga escala enfrentam rotatividade estrutural — turnover anual estimado em 25-40% no setor de cyber, segundo relatórios ISC2 Cybersecurity Workforce Study. Cada projeto novo do mesmo cliente é executado por uma pessoa diferente. Para órgão público, isso tem três consequências:

• Cadeia de custódia degradada: rastreamento de quem acessou dado sensível depende de equipe consistente. Time rotativo gera lacunas no histórico — auditor TCU pode questionar;
• Histórico contextual perdido: pentest anual no mesmo órgão exige que o time saiba o que foi achado e corrigido no ano anterior. Analista novo recomeça do zero;
• Background check repetido: servidores responsáveis por contratação preferem time estável que já passou por verificação prévia.

Na intrus.io são 5 profissionais sêniors fixos. O mesmo time que pentestou Caixa Econômica vai pentestar seu órgão. Sem rodízio. Sem júnior aprendendo no ambiente do governo.

Marco regulatório aplicável a pentest gov BR

• LGPD (Lei 13.709/2018) Art. 23-32 — tratamento de dados pessoais pelo Poder Público. Lei 14.460/2022 reforçou responsabilidade do servidor;
• Art. 46 — exige medidas de segurança técnicas e administrativas aptas. Pentest é evidência objetiva;
• Decreto 9.637/2018 — Política Nacional de Segurança da Informação (PNSI);
• IN GSI/PR nº 1/2020 — gestão de riscos de segurança da informação;
• Portaria GSI/PR nº 93/2021 — diretrizes para órgãos da APF;
• ENS — Estratégia Nacional de Segurança Cibernética (Decreto 10.222/2020);
• ABNT NBR ISO/IEC 27001/27002 — referência para órgãos com exigência ISO;
• Marco Civil da Internet (Lei 12.965/2014) — guarda de logs, art. 13-15;
• Lei 14.133/2021 — nova lei de licitações.

O que diferencia pentest gov de pentest corporativo

• Cadeia de custódia formal — toda evidência coletada hashada (SHA-256), armazenada com timestamp e atribuição de operador;
• Idoneidade do time — alguns órgãos exigem histórico criminal limpo, declaração de bens, conflito de interesse;
• Sigilo classificado — para órgãos com dado classificado, cláusulas adicionais conforme Decreto 7.845/2012;
• Aderência a padrão de governo — eGov, GovBR, padrão Interoperabilidade ePING;
• Relatório TCU-pronto — formato e conteúdo aceitos por auditoria do Tribunal de Contas, com mapeamento explícito ao referencial normativo.

Cases gov da intrus

• Caixa Econômica Federal — empresa pública federal, reconhecidos como melhor pentest técnico em avaliação competitiva;
• Polícia Federal — engajamentos em sistemas críticos de investigação;
• AGU — Advocacia-Geral da União;
• Polícia Civil (DF, Pará, e outras) e Polícia Militar (DF);
• CREA — sistemas de registro profissional regulado.

Comparativo: MSSP grande × intrus.io para gov

Critério

MSSP grande

intrus.io

Time alocado

Rotativo, conta gerente comercial

5 sêniors fixos, contato direto

Histórico entre pentests anuais

Reconstruído

Preservado

Cadeia de custódia rastreável

Lacunas de operador

Hash + timestamp por evidência

Mapeamento normativo

Genérico

LGPD + Decreto 9.637 + IN GSI/PR + ENS

Aceito por TCU/CGU

Eventualmente

Sim, por estrutura

Atendimento dispensa Lei 14.133

Burocrático

Direto

Como contratamos sem licitação

Pela Lei 14.133/2021 art. 75, dispensa de licitação para serviços de engenharia/comuns até R$ 57.600 (limite reajustável anualmente). Compatível com nossos pacotes:

• Pentest externo básico — R$ 7.500;
• Wi-Fi corporativo — R$ 6.000;
• Linux Server — R$ 7.000;
• Windows Server — R$ 7.500;
• iDRAC/iLO/IPMI — R$ 6.000;
• Phishing campanha — R$ 9.000;
• Cisco IOS/NX-OS — R$ 7.500.

Para escopos maiores, pregão eletrônico ou SRP — detalhe em /licitacao-publica/.

FAQ

Pentest gov precisa de TR específico?

Sim. TR genérico de "serviço de TI" atrai fornecedor commodity. TR de pentest deve exigir metodologia (PTES/OWASP), certificações nominais do time, estrutura de relatório e SLA de retest. Modelo em /licitacao-publica/.

Vocês têm CADIN limpo?

Sim. Empresa habilitada para licitação pública. Certidões federal/estadual/municipal/FGTS/INSS em dia. Disponibilizamos pacote completo de habilitação na fase competitiva.

Vocês atendem dispensa de licitação?

Sim, dentro do limite Lei 14.133/2021 art. 75. Pacotes pré-definidos (lista acima) são compatíveis.

Que certificações o time precisa para gov?

OSCP (mínimo), CISSP recomendado para lead, CRTO/GPEN para Red Team. Para órgãos com dado sigiloso, idoneidade comprovada. Toda a equipe nossa atende.

Vocês trabalham com EaaS / contrato guarda-chuva?

Sim. SRP ou contrato anual plurianual. PTaaS recorrente também atende.

E sobre cadeia de custódia?

Toda evidência hashada (SHA-256), armazenada em ambiente segregado, listada no relatório com timestamp + hash. Retenção controlada conforme contrato; descarte com comprovante.

$ Solicitar TR modelo Guia de licitação →