// pentest · administração municipal · 9 min
Pentest para Prefeitura: LGPD, Nova Lei de Licitações e Cadeia de Custódia
Prefeituras e câmaras municipais brasileiras entraram na linha de tira de ransomware desde 2023. Portal do cidadão sequestrado, IPTU paralisado em janeiro, folha do servidor não processa, ouvidoria fora do ar. A multa LGPD para ente público chega a R$ 50 milhões. O ressarcimento ao erário por dano causado por incidente cibernético cabe ao gestor — pessoalmente. Pentest deixou de ser luxo virou higiene mínima.
1. Por que prefeitura é alvo
Três fatores convergem: (a) dado pessoal de toda a base de munícipes (CPF, RG, comprovante de residência, foto), de servidores e de licitantes; (b) sistemas legacy com pouco patch, frequentemente desenvolvidos por fornecedor único sem auditoria externa; (c) recurso financeiro real circulando — folha, restos a pagar, contrato com fornecedor, transferência intergovernamental.
O atacante calcula: paralisar uma prefeitura média de 50-200 mil habitantes vale ransomware de R$ 800 mil a R$ 4 milhões, geralmente pago via fundo emergencial sem licitação.
2. Escopo típico
- Portal do cidadão — IDOR em consulta de IPTU/ITBI alheio, vazamento de cadastro, fraude em segunda via;
- e-Gov municipal — protocolo eletrônico, alvará online, ouvidoria, transparência ativa;
- Sistemas fazendários — IPTU, ISSQN, ITBI, dívida ativa, NF-Se municipal;
- Folha de pagamento e GP municipal — manipulação de holerite, fraude em vínculo, acesso a contracheque alheio;
- Saúde e educação municipal — prontuário UBS, regulação, vaga em escola/creche, transporte escolar;
- Integração com TCE — envio de prestação de contas, segurança do canal e da assinatura digital;
- Rede interna e Wi-Fi — segregação entre prédios, acesso de prestador terceirizado, exposição WAN indevida.
3. Lei 14.133/2021 e contratação técnica
A Nova Lei de Licitações exige parâmetros objetivos de habilitação técnica. Para pentest, isso significa:
- Comprovação de atestado em órgão público equivalente (federal/estadual);
- Time com certificação verificável (OSCP, CEH, CISSP, GPEN, CRTO);
- Metodologia documentada (PTES, OWASP Testing Guide, NIST SP 800-115);
- Modelo de relatório com PoC reproduzível por finding;
- Cláusula de confidencialidade e cadeia de custódia das evidências;
- Empresa habilitada (CADIN limpo, regularidade fiscal e trabalhista, certidões).
Sem esses parâmetros explícitos, o pregão atrai fornecedor commodity que entrega scan e some.
4. Atendemos governo desde 2018
Atestados em Caixa Econômica Federal, Polícia Federal, AGU, Polícia Civil PB, FADE, Fórmula 1. Empresa habilitada em CADIN, documentação societária regular, sede em Brasília. Atendemos via pregão eletrônico, dispensa de licitação por valor (Lei 14.133 art. 75), inexigibilidade técnica e ata de registro de preços.
5. Pacote enxuto para município pequeno
Para prefeitura de 10-50 mil habitantes com orçamento limitado, oferecemos pacote enxuto: portal do cidadão + 2 sistemas fazendários + integração TCE, a partir de R$ 25-45 mil, 3-4 semanas, com relatório formal aceito por TCM/TCE e CGU. Não é scan — é pentest manual sério, com escopo recortado.
FAQ
Vocês atendem prefeitura por licitação?
Sim. Habilitados em CADIN, atestados federais (Caixa, PF, AGU). Operamos via pregão eletrônico, dispensa e ata de registro de preços.
Pentest em prefeitura pequena vale a pena?
Sim, com escopo enxuto: portal do cidadão + e-Gov + integrações sensíveis. Pacote a partir de R$ 25-45 mil. Multa LGPD em ente público chega a R$ 50 milhões.
Conhecem a Lei 14.133/2021?
Sim. Já elaboramos TR técnicos para pregões de pentest municipal: critérios objetivos, prova de capacidade, exigência de metodologia, cláusula de cadeia de custódia.
O que entra no escopo típico?
Portal do cidadão, e-Gov, IPTU/ISSQN/ITBI, alvará digital, ouvidoria, transparência, integração TCE, folha, GP municipal, saúde e educação.