Sim. NF-e para clientes BR (PIX, boleto, transferência). Invoice em USD/EUR para clientes internacionais. Para empresa pública: empenho fracionado conforme entregáveis.

> pme.exe · ~10 min

PENTEST PARA
PEQUENA EMPRESA E STARTUP

Q: Quanto custa pentest para startup pré-seed?

Faixa enxuta: pacote externo + Wi-Fi + phishing = R$ 22.500. Para startup com produto único (1 web app), web app OWASP a R$ 9.000 atende contratação inicial. Cobertura total mínima a partir de R$ 30k para empresa de até 50 pessoas.

Q: Vocês fazem para empresa de 5 pessoas?

Sim, se faz sentido. Empresa de 5 pessoas com produto SaaS B2B vendendo para enterprise = pentest necessário. Empresa de 5 pessoas em consultoria offline sem produto digital = pentest provavelmente prematuro.

Q: Posso pagar parcelado?

Sim. Projetos acima de R$ 20k em até 6x sem juros. Parcelamento maior sob análise. PTaaS mensal (R$ 6k/mês) também funciona como opção.

Q: Vale fazer antes do produto ir pro ar?

Sim, especialmente em SaaS B2B. Findings em pré-launch são 10-100x mais baratos de corrigir do que em produção. Para Series A+, normalmente cliente exige pentest pré-launch como condição de uso.

Q: Pacote 'pentest a partir de R$ 4.000' é confiável?

Geralmente é scan automatizado disfarçado de pentest. Não exige certificações nominais, não entrega PoC reproduzível, não inclui retest. Para evidência aceita por auditor SOC 2/ISO/PCI: não satisfaz. Veja /comparativo-precos para detalhes.

O mito de que pentest é "só para empresa grande" é caro. Estatística que poucos falam: ~60% dos ataques de ransomware no Brasil em 2024-2025 atingiram empresas de até 500 funcionários. Por quê? Porque maturidade de segurança é menor — atacante encontra menos resistência, não menos valor. Esta página é pra fundador, sócio ou TI lead de SMB que quer pentest sério SEM contratar Big 4 a R$ 200k.

[01]

Time fixo > time grande

Em SMB, você vai falar direto com quem executa. Não com gerente de conta. Sem rodízio entre engagements.

[02]

90% manual

Pacote "fechadinho" de R$ 4k geralmente é scan automatizado. Pentest manual real custa mais, encontra mais.

[03]

Relatório acionável

Para SMB, relatório precisa ser ROI imediato: o que arrumar primeiro, quanto custa, qual o impacto se não.

> QUANDO SMB PRECISA DE PENTEST

Antes de fechar B2B com cliente enterprise — cliente exige relatório de pentest;
Antes de captar (Series A+) — DD técnica de fundo busca vulnerabilidades não tratadas;
Pre-launch SaaS B2B — corrigir em pré-prod é 10-100x mais barato que em produção;
Antes de SOC 2 / ISO 27001 — pentest é evidência obrigatória dos controles;
Após incidente / quase-incidente — fortalecer pós-evento;
Compliance LGPD obrigatório — art. 46, "medidas técnicas adequadas";
Lançamento de feature crítica — pagamentos, autenticação, integração externa.

> O QUE MUDA ENTRE PENTEST SMB E ENTERPRISE

Escopo — SMB tem menos ativos, escopo é mais focado;
Prazo — 2-4 semanas em vez de 6-12;
Ambiente de execução — geralmente cloud-native (AWS, GCP, Azure), menos legacy;
Acesso ao time — você fala com pentester, não com PM. Resposta direta;
Decisão — fundador/CTO decide; menos comitê de aprovação;
Profundidade — Grey Box é regra, não Red Team;
Relatório — mesma estrutura, mesmo padrão. Não cortamos qualidade.

> CUIDADO COM PACOTE "FECHADINHO"

Existem fornecedores que vendem "pentest a partir de R$ 4.000" — e o que entregam é varredura automatizada com Nessus + relatório de 15 páginas com lista de CVEs. Não é pentest. Sinais:

Sem mostrar nome dos pentesters que vão executar;
Sem certificações verificáveis (peça nº de OSCP);
"Roda em 2 dias" — pentest manual não roda em 2 dias;
Não exige Authorization to Test formal;
Relatório-modelo idêntico entre clientes (genérico);
Sem retest;
"Empresa de SP/RJ" mas pentester é freelancer no LinkedIn;
Preço fixo sem entender o ambiente — pentest sério precisa de pre-engagement.

Se aparecer 4 ou mais desses sinais, é scan disfarçado. Para SMB, é dinheiro queimado: você paga, recebe PDF, e quando vai apresentar para cliente enterprise / auditor / investidor, é rejeitado.

> O QUE ESPERAR DE PENTEST MANUAL SMB REAL

Faixa de preço: R$ 9k-25k para escopo focado SMB. Acima de R$ 25k entra em escopo médio. Abaixo de R$ 9k é commodity;
Prazo: 3-5 semanas (pre-engagement → execução → relatório → retest);
Pre-engagement: call de 60-90 min com pentester antes de assinar;
NDA mútuo + Authorization to Test antes de tocar qualquer ativo;
Relatório executivo + técnico (40-80 páginas para SMB, vs 80-150 enterprise);
Retest 1x dentro de 60-90 dias;
Suporte pós-relatório 30 dias para tirar dúvidas técnicas.

> TIME FIXO > TIME GRANDE QUANDO SMB

MSSPs com operação de larga escala têm rotatividade estrutural — turnover anual estimado em 25-40%. Para SMB, isso é especialmente ruim:

Fundador/CTO quer falar com quem executa — não com sales engineer;
Resposta rápida — pentester direto responde em horas, MSSP grande responde em dias via tickets;
Conhecimento contextual — segundo pentest no ano seguinte é com a mesma pessoa que sabe o ambiente;
Pré-venda enxuta — sem comitê de pré-venda de 4 horas, sem 4 PowerPoints até chegar no preço.

Na intrus.io são 5 sêniors fixos. Você fala com pentester desde call de pre-engagement.

> COMO A INTRUS ATENDE SMB

Pacotes pré-definidos — escopo enxuto, preço fixo: /pentest-barato/;
Sem perda de qualidade técnica — mesmo time que atende Caixa atende SMB;
Foco em ROI — relatório priorizado para "o que arrumar primeiro";
Parcelamento — até 6x sem juros para projetos acima de R$ 20k;
NF-e emitida para BR; invoice USD/EUR para internacional;
Continuidade — quando crescer, continuamos com você (PTaaS recorrente).

SMB: pacote barato × pentest manual real

Critério

"Pentest" R$ 4k

intrus.io

Execução

Scanner automatizado

≥ 90% manual

Pre-engagement

Não tem

Call 60-90 min

Relatório

15-20 págs genéricas

40-80 págs com PoC

Aceito por cliente enterprise

Frequentemente rejeitado

Aceito

Aceito SOC 2/ISO

Reprovado

Aceito

Retest

Cobrado à parte

Incluso

FAQ

Quanto custa pentest para startup pré-seed?

Pacote externo + Wi-Fi + phishing = R$ 22.500. Para startup com produto único (1 web app), web app OWASP a R$ 9.000 atende. Cobertura mínima a partir de R$ 30k para empresa até 50 pessoas.

Vocês fazem para empresa de 5 pessoas?

Sim, se faz sentido. SaaS B2B vendendo para enterprise: pentest necessário. Consultoria offline sem produto digital: pentest provavelmente prematuro.

Posso pagar parcelado?

Sim. Projetos acima de R$ 20k em até 6x sem juros. PTaaS mensal (R$ 6k/mês) também funciona.

Vale fazer antes do produto ir pro ar?

Sim. Findings em pré-launch são 10-100x mais baratos. Para Series A+, normalmente cliente exige.

Vocês emitem nota?

Sim. NF-e para BR; invoice USD/EUR para internacional.

Pacote 'pentest a partir de R$ 4.000' é confiável?

Geralmente scan disfarçado. Sem certificações nominais, sem PoC, sem retest. Não satisfaz auditor. Detalhe em /comparativo-precos/.

> SOLICITAR COTAÇÃO PME > comparativo →

PENTEST PARAPEQUENA EMPRESA E STARTUP